È stato reso disponibile sul sito del Garante il nuovo programma dell’attività ispettiva, curata in collaborazione con la Guardia di finanza (Nucleo speciale tutela privacy e frodi tecnologiche), relativo al periodo gennaio-giugno 2020. Da quanto emerge dalla deliberazione in oggetto, gli accertamenti condotti dall’Autorità (disposti nel numero di 80 in totale) copriranno uno spettro piuttosto particolareggiato di tipologie di trattamenti.
Sarà anzitutto valutata la compliance alla normativa privacy di quei soggetti operanti nel settore della sanità, con particolare attenzione ai trattamenti effettuati da enti pubblici coinvolti nell’ambito della “medicina di iniziativa” e dalle società multinazionali del settore farmaceutico e sanitario.
Sotto la lente di ingrandimento anche i trattamenti effettuati nel quadro dei servizi bancari online e da intermediari per la fatturazione elettronica, nonché di quelli rientranti nell’ambito di attività di food delivery, marketing, profilazione (relativamente agli interessati che aderiscono a carte di fidelizzazione) e banche dati reputazionali.
Altre ispezioni del Garante saranno indirizzate a verificare il rispetto delle norme privacy nell’uso di software per la gestione delle segnalazioni di condotte illecite (il cosiddetto “whistleblowing”), e alle attività effettuate dagli enti pubblici in merito al rilascio di certificati anagrafici e di stato civile tramite l’Anagrafe nazionale della popolazione residente.
Ancora, con riferimento a profili di interesse generale per categorie di interessati, si prevedono poi verifiche nell’ambito delle violazioni della sicurezza dei dati (i c.d. “data breach”).
Infine, ulteriori controlli saranno condotti in merito all’adozione delle misure di sicurezza da parte di pubbliche amministrazioni e di imprese che trattano particolari categorie di dati personali, sul rispetto delle previsioni inerenti la corretta informazione degli interessati, sui presupposti di liceità del trattamento, nonché in relazione alle condizioni per la prestazione del consenso – qualora il trattamento sia basato su tale presupposto – e sulla durata della conservazione dei dati.
Alla luce di quanto precede, risulta evidente pertanto che il programma delle attività di ispezione che avranno luogo nel semestre entrante, da una parte, si pone in linea di continuità con le verifiche effettuate negli anni precedenti dal Garante (i.e. i trattamenti inerenti l’ambito bancario, quelli effettuati dagli enti pubblici, le attività di marketing e profilazione, la fatturazione elettronica, il whistleblowing, il food delivery), dall’altra, invece, introduce profili di novità, evidenziando un maggiore interesse rispetto alle ipotesi di data breach, nonché con riferimento al settore farmaceutico e sanitario.