CONTATTACI

Garante Privacy: deliberata attività ispettiva nel periodo gennaio/giugno 2025

Con un provvedimento approvato il 19 dicembre 2024 l’Ufficio del Garante per la protezione dei dati personali ha dato il via ad una attività ispettiva, condotta anche per mezzo della Guardia di Finanza.

L’obiettivo è quello di testare la tenuta dei sistemi di sicurezza e i profili di accessibilità delle banche dati pubbliche di particolare rilievo e delicatezza, nonché verificare la compliance alla normativa sulla protezione dei dati personali di soggetti pubblici e privati.

 

I settori coinvolti

 

L’attività ispettiva del Garante è rivolta ai seguenti settori:

  • Banche dati pubbliche;
  • Banche dati degli Istituti di credito;
  • Verifica statistica di specifici progetti del PSN (Polo Strategico Nazionale);
  • Imprese che gestiscono call center e servizi di email marketing;
  • Aziende del settore energetico;
  • Società che gestiscono sistemi di video allarme;
  • Enti pubblici che utilizzano dati biometrici e sensibili come Motorizzazione Civile ed Istituti scolastici;
  • Indipendentemente dal settore, verifiche sul corretto utilizzo dei cookies sui siti web.

In generale, saranno coinvolte nei controlli ispettivi anche tutte le aziende, pubbliche e private, che trattano dati personali nelle loro banche dati.

 

Le verifiche del Garante

 

L’Ufficio del Garante potrà, anche avvalendosi della collaborazione con la Guardia di Finanza, predisporre una serie di verifiche che includono:

  • Accertamenti relativi ai data breach. Ciò, con specifico riferimento alla verifica dei sistemi di sicurezza ed ai profili di accessibilità delle banche dati;
  • Verifica sulle violazioni di dati personali oggetto di notificazione al Garante e delle misure adottate per rilevarle tempestivamente e/o prevenirle;
  • Verifiche sulla legittimità dell’uso di indirizzari e banche dati a scopo commerciale;
  • accertamenti relativi all’attivazione di contratti non richiesti;
  • Prosecuzione delle verifiche sull’utilizzo dei cookie di profilazione in relazione alle Linee guida del 10 giugno 2021 e tenendo conto delle segnalazioni e dei reclami pervenuti al Garante;
  • Conclusione del ciclo di ispezioni sui gestori dell’identità digitale (SPID) e sulla filiera dei soggetti di cui essi si avvalgono per il rilascio di servizi fiduciari (SPID e firma digitale);
  • Altri accertamenti nei confronti di soggetti pubblici e privati, per verificare l’osservanza delle disposizioni in materia di protezione dei dati personali, ivi incluse le istruttorie relative a reclami e segnalazioni formali proposti all’Autorità ed in istruttoria presso i relativi Dipartimenti e Servizi.

 

L’importanza della compliance normativa per i settori coinvolti

 

Secondo il provvedimento, saranno predisposti almeno 40 accertamenti ispettivi e l’Ufficio potrà svolgere ulteriori attività istruttorie di carattere ispettivo d’ufficio o in relazione a segnalazioni o reclami proposti.

Durante l’ispezione, il Garante potrebbe richiedere della documentazione. A titolo esemplificativo, le aziende dovranno rendere note le seguenti informazioni:

  • struttura ed organizzazione della società;
  • distribuzione delle funzioni in materia di protezione dei dati personali;
  • modalità con la quale viene fornita agli interessati l’informativa di cui agli art. 13 e14 del GDPR acquisendo copia della relativa documentazione;
  • modalità di acquisizione dei consensi ai sensi degli artt. 7 e 8 del GDPR con relativa documentazione;
  • Registro dei trattamenti, mettendone a disposizione copia dello stesso (art. 30 GDPR);
  • Designazione di responsabili esterni (e/o sub responsabili) del trattamento con acquisizione del relativo contratto e designazione (art. 28 del GDPR);
  • eventuale nomina del DPO in relazione agli artt. 37 e segg. del GDPR;
  • soggetti autorizzati ad accedere ai dati personali oggetto del trattamento e documentazione relativa all’istruzione ed alla formazione degli incaricati ed eventuale copia delle nomine a incaricati (art. 29 GDPR);
  • il periodo di conservazione dei dati di profilazione personali ovvero i criteri utilizzati per determinare tale periodo;
  • valutazione d’impatto effettuata in relazione ai trattamenti dei dati che possano portare ad un elevato impatto sui diritti e le libertà dei soggetti interessati;
  • presupposti, ambito e modalità di comunicazione a terzi dei dati, anche in riferimento ad eventuali società controllanti, controllate o collegate e dall’eventuale trasferimento dei dati in paesi non appartenenti all’Unione europea;
  • procedure poste in essere per l’esercizio dei diritti degli interessati (artt. 15 a 22del GDPR);
  • misure tecniche ed organizzative adeguate a garantire un livello di sicurezza adeguato al rischio (art. 32 del GDPR).

 

Nel caso vengano trattati dati particolarmente sensibili (es. dati biometrici) potrebbero essere richiesti documenti aggiuntivi.

Perciò diventa ancora più importante, per le realtà aziendali coinvolte, verificare il proprio adeguamento alla normativa sulla protezione dei dati personali e la tenuta dei propri sistemi informatici.

In questo contesto normativo in costante evoluzione è importante avere gli strumenti giusti per non “restare indietro”. Compet-e, specializzata in servizi di consulenza nell’ambito della Governance, Risk & Compliance (GRC) e ESG, offre un approccio pragmatico che combina competenze tecnologiche e normative.

Condividi

PrecedentePrecedenteIl gruppo hacker nordcoreano Lazarus è tornato a colpire
SuccessivoCAPTCHA: misura di sicurezza o business dei dati?Successivo

I nostri clienti

Compet-e srl

A TESISQUARE® Ecosystem Company

Facebook Linkedin

CF – PIVA: 02760970042

Tel: 0172 38 27 63 – Fax: 0172 18 32 072

info@compet-e.it – compet-e@pec.it

Codice fatturazione: USAL8PV

SEDE DI BRA 

Via Don Luigi Orione, 202/G
12042 – BRA Fraz. Bandito (CN)

SEDE DI ROMA

Via Cristoforo Colombo, 149
00147 – ROMA (RM)

Resta sempre aggiornato!

Iscriviti alla nostra newsletter per essere sempre aggiornato sulle novità e le ultime notizie in ambito di compliance, privacy e sicurezza.

Ti invieremo solo notizie interessanti e pertinenti, nessuno spam!

Centro privacy e compliance.

Informative
Privacy Policy & Cookie
Informativa clienti
Informativa fornitori
DPA – Data processing Agreement
Politiche

Politica per la protezione dei dati personali
Politica sistema di gestione integrato

Diritti degli interessati
Esercizio dei diritti degli interessati
Matomo
Ci trovi sul Marketplace ACN
Catalogo dei servizi Cloud qualificati per la PA

ACN Cloud Marketplace

Prassi di Riferimento
UNI/PdR 43:2018

logo-dasa-raegister

ISO/IEC 27001:2022
IIS-0223-01

UNI EN ISO 9001:2015
IQ-0423-02

© 2023 COMPET-E SRLinfo@compet-e.itCompet-e Srl – Via Don Luigi Orione 202/G, 12042 Bra fraz. Bandito (CN) – PIVA/CF 02760970042