il Garante ha pubblicato la Relazione annuale sull’attività del 2019 contenente un bilancio delle attività e degli interventi effettuati nell’anno appena concluso, tra innovazione e continuità con la normativa privacy pre-GDPR.
Il Garante per la protezione dei dati personali ha pubblicato la Relazione annuale sull’attività svolta nel 2019, nella quale vengono illustrati i diversi fronti sui quali è stato impegnato il Collegio dell’Autorità nel corso dell’anno di proroga del suo mandato.
Il 2019 è stato senz’altro un anno di sperimentazione e di progressivo adeguamento degli attori, pubblici e privati, rispetto alle previsioni contenute nel Regolamento UE 2016/679 (“GDPR”) e ha visto l’Autorità coinvolta in una consistente serie di interventi, sia a livello nazionale che internazionale.
Nel periodo di riferimento il Garante ha adottato 232 provvedimenti collegiali e fornito riscontro a oltre 8.000 reclami e segnalazioni relative a questioni riguardanti tematiche quali il marketing telefonico, la sanità, il credito al consumo, la sicurezza informatica, il settore bancario e finanziario, il lavoro e gli enti locali. Inoltre, con il contributo del Nucleo speciale tutela privacy e frodi tecnologiche della Guardia di Finanza, l’Autorità ha effettuato 147 ispezioni, sia nell´ambito pubblico (analizzando questioni relative ad es. allo SPID e ai software per la gestione del whistleblowing), che privato, rivolgendosi in quest’ultimo caso principalmente ai trattamenti effettuati da società di intermediazione finanziaria, istituti bancari (con particolare riferimento ai flussi di dati verso l’anagrafe dei conti correnti) e società che svolgono attività di marketing e fidelizzazione (inclusa la profilazione dei clienti). A questo ultimo proposito, è interessante rilevare come il Garante abbia posto particolare attenzione alla tutela dei consumatori, distinguendosi, per la severità delle sanzioni pecuniarie comminate, le decisioni adottate nei confronti di operatori che hanno utilizzato i dati degli abbonati senza il loro consenso, nell’ambito del c.d. telemarketing aggressivo: si tratta di sanzioni di ammontare pari a € 27,8 milioni di euro e € 11,5 milioni, le più alte dall’istituzione dell’Autorità.
Per quanto concerne il fronte cybersecurity, l’Autorità ha proseguito la sua attività di vigilanza e intervento e, tra le altre, ha prescritto in due occasioni – ad una società che offre servizi pec e ad una piattaforma di partecipazione politica – l’adozione di rigorose misure per sanare le vulnerabilità emerse e mettere in sicurezza il proprio servizio. D’altro canto, è significativo il numero delle violazioni di dati personali comunicati al Garante da parte di soggetti pubblici e privati, essendo state inoltrate nel corso dell’anno 1.443 notifiche di data breach. Inoltre, nell’ambito delle attività di relazione con il pubblico, il Garante ha altresì fornito risposte a oltre 15.800 quesiti, attraverso le quali è di fatto emersa l’assenza di “bruschi cambi di rotta o [di] salti nel buio”, a favore di una prevalente linea di continuità tra il previgente regime normativo e quello introdotto a seguito del GDPR.
Merita da ultimo un riferimento anche all’intensa l’attività del Garante a livello internazionale, caratterizzata soprattutto dall’azione di supporto all’ applicazione del GDPR. In particolare, in quanto membro dell’European Data Protection Board (“EDPB”), l’Autorità ha contribuito all’adozione di numerose linee guida e pareri in relazione a: (i) i codici di condotta, (ii) i principi di privacy by design e by default, (iii) i contratti online, (iv) la videosorveglianza, e (v) i trasferimenti di dati verso Paesi extra-Ue basati su norme vincolanti d’impresa (“BCR”).