Garante privacy: pubblicato il piano delle ispezioni per il primo semestre 2022

E’ stato approvato il piano delle ispezioni del Garante privacy per il primo semestre 2022 che coinvolge principalmente i settori degli smart toys, cookie, app “rubadati”, ma anche siti di incontri, monetizzazione dei dati e database.

Il Garante sulla protezione dei dati personali definisce attraverso il piano ispettivo, le priorità in relazione alle risorse disponibili e individua i criteri dell’azione ispettiva, ricomprendendo anche l’accertamento in loco del personale dell’Ufficio o della Guardia di Finanza, dove occorre effettuare rilevazioni utili al controllo.  L’attività ispettiva del Garante, disciplinata dal regolamento 1/2019 della stessa Autorità, prevede che, nel corso dell’attività ispettiva è possibile:

  1. Controllare, estrarre ed acquisire copia dei documenti, anche in formato elettronico;
  2. richiedere informazioni e spiegazioni;
  3. accedere alle banche dati ed agli archivi;
  4. acquisire copia delle banche dati e degli archivi su supporto informatico”.

L’attività di ispezione del Garante si concentrerà sui trattamenti che riguardano:

  • i “fornitori di database”: continua la lotta al telemarketing che dovrebbe acuirsi con l’approvazione del nuovo Registro delle Opposizioni;
  • piattaforme e siti web in ordine alla corretta gestione dei cookies: si tratta di qualcosa di atteso dopo l’entrata in vigore delle nuove linee guida sui cookies e la decisione del Garante austriaco su Google Analytics che dà rilievo anche alla problematica relativa alla necessità di eseguire le valutazioni dei trasferimenti fuori l’EEA (sul punto si veda Il trasferimento di dati personali da Google Analytics agli Stati Uniti è stato contestato dall’autorità privacy austriaca);
  • il settore della c.d. videosorveglianza. Si tratta di un argomento sempre caldo su cui il Garante ha di recente pubblicato una scheda informativa che riassume le regole da seguire in caso di sistemi di videosorveglianza installati da persone fisiche in ambito personale o domestico;
  • siti di incontri, operatori dell’ambito della c.d. data monetization e da parte di produttori e distributori di smart toys: in questo caso si tratta di attività molto delicate perché potrebbero coinvolgere soggetti considerati particolarmente deboli;
  • l’utilizzo di algoritmi e intelligenza artificiale in ambito pubblico e privato: anche in questo caso, si tratta di un tema che è stato oggetto di alcune recenti decisioni del Garante contro le società di food-delivery, che hanno utilizzato una piattaforma digitale discriminatoria verso i rider (sul punto si veda Sanzione privacy contro una società di food delivery per algoritmi discriminatori verso i rider);
  • l’ultilizzo di app e altri applicativi informatici con riferimento all’acquisizione di informazioni e dati personali da parte di app su smartphone e alla verifica sul corretto trattamento dei dati da parte di app diverse da VerificaC19: la pandemia ha fatto sentire alcuni “legittimati” a superare le norme privacy ma il Garante ha sempre avuto una posizione ferma sull’argomento: “Ulteriori accertamenti faranno luce sulla corretta individuazione dei titolari e dei responsabili del trattamento in ambiti pubblici e privati, anche in relazione all’utilizzo di app e altri applicativi spia. Attenzione particolare sarà riservata all’acquisizione di dati personali da parte di app istallate sugli smartphone, e alla verifica del corretto trattamento dei dati da parte di app diverse da Verifica C19.” (ne abbiamo discusso qui: Green pass: il Garante Privacy avvia una indagine sulle app pirata).

Il piano ispettivo è di particolare interesse in quanto dimostra che il Garante non si concentra solamente sulle violazioni alla normativa ma anche, e soprattutto, sul rispetto dei principi di accountability.