Il nuovo piano di ispezioni del Garante privacy si focalizza su aree ad altro rischio e data breach e rileva un aumento delle sanzioni emesse ai sensi del GDPR.
Il 1° ottobre 2020, il Garante per la protezione dei dati personali ha approvato il piano ispettivo per il secondo semestre 2020, che si pone in tendenziale linea di continuità con quanto deliberato lo scorso febbraio 2020 dal precedente Collegio del Garante, focalizzandosi principalmente sui trattamenti di dati personali svolti nell’ambito di settori particolarmente delicati.
Dal provvedimento emanato del Garante si rileva che, per il periodo luglio-dicembre 2020, verranno effettuati 30 accertamenti ispettivi di iniziativa, anche mediante la collaborazione del Nucleo speciale tutela privacy e frodi tecnologiche della Guardia di Finanza, i quali continueranno a riguardare principalmente i trattamenti sui dati personali effettuati:
- mediante gli applicativi delle segnalazioni di condotte illecite (il c.d. “whistleblowing”);
- da intermediari per la fatturazione elettronica;
- da Enti pubblici in merito al rilascio di certificati anagrafici e di stato civile tramite l’Anagrafe nazionale della popolazione residente;
- per la gestione e la registrazione delle telefonate nell’ambito del servizio di call center;
- da società operanti nel settore del food delivery; e
- nell’ambito del c.d. “rating reputazionale”.
Permane nel piano di ispezioni inoltre l’interesse del Garante privacy all’analisi delle violazioni della sicurezza dei dati (i “data breach”), così come viene reiterato l’impegno a verificare che pubbliche amministrazioni e imprese che trattano particolari categorie di dati personali abbiano debitamente adottato misure di sicurezza adeguate ai sensi della normativa privacy, nonché, in generale, il rispetto delle previsioni inerenti la corretta informazione degli interessati, i presupposti di liceità del trattamento, le condizioni per la prestazione del consenso – qualora il trattamento sia basato su tale presupposto – e la durata della conservazione dei dati. Al contrario, invece, non vengono riproposti i controlli con riferimento al settore farmaceutico e sanitario.
In ogni caso, indipendentemente dall’appartenenza alle categorie descritte dalla deliberazione, “l’Ufficio potrà svolgere ulteriori attività ispettive e di revisione d’ufficio ovvero in relazione a segnalazioni o reclami proposti”. Pertanto, è fondamentale che tutti i titolari del trattamento si adeguino alla normativa e siano in grado, anche in un’ottica di accountability, di dimostrare di essersi conformati alle disposizioni di cui al Regolamento UE 2016/679 (“GDPR”) e al D.l.gs. 196/2003 (“Codice Privacy”). A tal riguardo, è infatti degno di nota il primo bilancio dell’attività ispettiva e sanzionatoria dell’Autorità nel primo semestre del 2020, riportato nella Newsletter ufficiale del Garante del 26 ottobre 2020, il quale registra un notevole incremento delle entrate complessive derivanti dalle sanzioni, che passano da 1 milione 223mila euro del primo semestre del 2019 a 7 milioni 108mila euro, con un aumento del 481%. Viene evidenziato altresì che, nello stesso periodo, sono state effettuate iscrizioni a ruolo per un importo complessivo di 5 milioni 42mila euro (+124%) a fronte dei 2 milioni 248mila euro del primo semestre 2019, che hanno riguardato trasgressori che non si sono avvalsi della facoltà di definizione agevolata delle violazioni prevista dall’articolo 18 del D.Lgs. 101/2018 di adeguamento del Codice Privacy alle disposizioni del GDPR.
Su di un simile argomento, può essere interessante l’articolo “Come preparare la propria azienda ad una ispezione del Garante privacy?”.