CONTATTACI

Garante privacy: pubblicato il piano delle ispezioni per il primo semestre 2022

È stato approvato il piano delle ispezioni del Garante Privacy per il primo semestre 2022 che coinvolge principalmente i settori degli smart toys, cookie, app “rubadati”, ma anche siti di incontri, monetizzazione dei dati e database.

 

Il Garante sulla protezione dei dati personali definisce attraverso il piano ispettivo, le priorità in relazione alle risorse disponibili e individua i criteri dell’azione ispettiva, ricomprendendo anche l’accertamento in loco del personale dell’Ufficio o della Guardia di Finanza, dove occorre effettuare rilevazioni utili al controllo. L’attività ispettiva del Garante, disciplinata dal regolamento 1/2019 della stessa Autorità, prevede che, nel corso dell’attività ispettiva è possibile:

  1. Controllare, estrarre ed acquisire copia dei documenti, anche in formato elettronico;
  2. richiedere informazioni e spiegazioni;
  3. accedere alle banche dati ed agli archivi;
  4. acquisire copia delle banche dati e degli archivi su supporto informatico”.

 

L’attività di ispezione del Garante si concentrerà sui trattamenti che riguardano:

  • i “fornitori di database”: continua la lotta al telemarketing che dovrebbe acuirsi con l’approvazione del nuovo Registro delle Opposizioni;
  • piattaforme e siti web in ordine alla corretta gestione dei cookies: si tratta di qualcosa di atteso dopo l’entrata in vigore delle nuove linee guida sui cookies e la decisione del Garante austriaco su Google Analytics che dà rilievo anche alla problematica relativa alla necessità di eseguire le valutazioni dei trasferimenti fuori l’EEA (sul punto si veda Il trasferimento di dati personali da Google Analytics agli Stati Uniti è stato contestato dall’autorità privacy austriaca);
  • il settore della c.d. videosorveglianza. Si tratta di un argomento sempre caldo su cui il Garante ha di recente pubblicato una scheda informativa che riassume le regole da seguire in caso di sistemi di videosorveglianza installati da persone fisiche in ambito personale o domestico;
  • siti di incontri, operatori dell’ambito della c.d. data monetization e da parte di produttori e distributori di smart toys: in questo caso si tratta di attività molto delicate perché potrebbero coinvolgere soggetti considerati particolarmente deboli;
  • l’utilizzo di algoritmi e intelligenza artificiale in ambito pubblico e privato: anche in questo caso, si tratta di un tema che è stato oggetto di alcune recenti decisioni del Garante contro le società di food-delivery, che hanno utilizzato una piattaforma digitale discriminatoria verso i rider (sul punto si veda Sanzione privacy contro una società di food delivery per algoritmi discriminatori verso i rider);
  • l’ultilizzo di app e altri applicativi informatici con riferimento all’acquisizione di informazioni e dati personali da parte di app su smartphone e alla verifica sul corretto trattamento dei dati da parte di app diverse da VerificaC19: la pandemia ha fatto sentire alcuni “legittimati” a superare le norme privacy ma il Garante ha sempre avuto una posizione ferma sull’argomento:

    “Ulteriori accertamenti faranno luce sulla corretta individuazione dei titolari e dei responsabili del trattamento in ambiti pubblici e privati, anche in relazione all’utilizzo di app e altri applicativi spia. Attenzione particolare sarà riservata all’acquisizione di dati personali da parte di app istallate sugli smartphone, e alla verifica del corretto trattamento dei dati da parte di app diverse da Verifica C19.”

 

 

Il piano ispettivo è di particolare interesse in quanto dimostra che il Garante non si concentra solamente sulle violazioni alla normativa ma anche, e soprattutto, sul rispetto dei principi di accountability.

I contenuti del piano ispettivo per il primo semestre del 2022

In primo luogo, il piano ha individuato i settori specifici che saranno oggetto di accertamento con riferimento a profili di interesse generale. Si tratta di un novero di settori eterogeneo, che comprende il trattamento di dati nel settore della c.d. “videosorveglianza” e della c.d. data monetization, ma anche della produzione e distribuzione di smart toys, e il settore dei siti d’incontri. A questi si aggiunge inoltre il settore degli algoritmi e dell’intelligenza artificiale in ambito sia pubblico che privato.

I settori della videosorveglianza e degli smart toys erano già stati evidenziati, peraltro, come settori da monitorare anche nel precedente piano ispettivo, relativo al periodo da luglio a dicembre 2021, con particolare riferimento, nel caso della videosorveglianza, alla questione dell’acquisizione di dati biometrici e alla videosorveglianza domestica.

In secondo lungo, l’attività ispettiva, in base al piano, fino a giugno 2022 si concentrerà anche sullo svolgimento di accertamenti nei confronti di soggetti pubblici e privati, allo scopo di verificare l’osservanza delle disposizioni in materia di protezione dei dati personali, con particolare riferimento alla corretta individuazione dei titolari e dei responsabili del trattamento.

In tal senso, una particolare attenzione sarà dedicata all’acquisizione di informazioni e dati personali da parte di app installate sugli smartphone e alla verifica del corretto trattamento dei dati da parte di queste (ad esclusione dell’app Verifica C19, sviluppata dal Ministero della Salute per consentire il processo di verifica dell’autenticità e validità delle Certificazioni verdi COVID-19).

Piano concluso e approvato: quali prospettive?

I contenuti del piano rappresentano l’occasione per valutarne l’impatto e i risultati.

Per avere una migliore comprensione di quali potrebbero essere le linee di sviluppo della pianificazione ispettiva da parte del Garante della privacy, appare opportuno non trascurare il fatto che essa si inserisce nel più ampio quadro programmatico delle attività del Garante stesso.

Tale quadro è tracciato innanzitutto nel documento programmatico relativo al periodo 2022-2024 adottato dal Garante, che ha individuato le principali tematiche da trattare nel periodo di riferimento, tenendo conto anche del recente accrescimento dei compiti del Garante; il legislatore nazionale ha infatti recentemente incrementato ulteriormente i compiti del Garante, anche restringendo i tempi istruttori: il d.l. n. 139/2021, relativo anche alla materia della protezione dei dati personali e convertito con modificazioni dalla L. 3 dicembre 2021, n. 205, ha infatti stabilito la competenza del Garante in materia di revenge porn, inserendo l’art. 144-bis nel Codice della privacy, e la comunicazione ad altri soggetti pubblici o la diffusione dei dati personali da parte dei soggetti pubblici, in assenza di base normativa, sono consentite se necessarie per l’adempimento di un compito svolto nel pubblico interesse o per l’esercizio di pubblici poteri ad esse attribuiti, previa notizia al Garante almeno dieci giorni prima dell’inizio di tali operazioni (art. 2 ter, comma 1-bis del Codice della privacy).

La medesima disposizione ha inoltre stabilito che i pareri del Garante richiesti con riguardo a riforme, misure e progetti di piani fondamentali quali il Piano nazionale di ripresa e resilienza, del Piano nazionale per gli investimenti complementari di cui al d.l. n. 59/2021, nonché del Piano nazionale integrato per l’energia e il clima 2030 di cui al regolamento (UE) 2018/1999, dovranno essere resi nel termine non prorogabile di trenta giorni dalla richiesta

Il documento programmatico ha preso dunque atto dell’accrescimento dei compiti del Garante, sotto il profilo sia qualitativo, sia quantitativo, accrescimento che deriva anche dall’imponente processo di digitalizzazione che l’Italia sta affrontando in molteplici settori, anche sulla scia dell’impulso dato dalla situazione emergenziale derivante dalla pandemia da Covid-19, che ha avuto un impatto determinante in termini di nuove sfide legate alla protezione della privacy: dalla creazione di grandi banche-dati sanitari, al progressivo affermarsi del c.d. smart working.

Nel proprio documento programmatico, il Garante ha evidenziato dunque come la protezione dei dati personali dovrà confrontarsi con tale processo di digitalizzazione, che rappresenta peraltro un settore chiave destinatario degli investimenti previsti anche dal PNRR. Tale processo porterà il Garante a dover far fronte in misura sempre maggiore ad un elevato numero di istanze di protezione e garanzie, provenienti sia da soggetti pubblici che privati, coinvolti a vario titolo nel trattamento di dati personali.

Nel proprio documento, il Garante ha evidenziato inoltre come sarà chiamato, anche in forza delle sue nuove competenze oltre che del progressivo affermarsi e diffondersi di nuove tecnologie, ad affrontare in misura sempre maggiore “delicati settori, che prospettano una forte invasività nella sfera di riservatezza degli interessati, come nel caso del revenge porn, dell’intelligenza artificiale, del cyberbullismo o del trattamento dei dati genetici nel contesto sanitario e della ricerca”.

Tracciato tale quadro, il Garante ha individuato i settori d’azione-chiave della propria strategia, e con riferimento a quello dell’attività ispettiva e sanzionatoria, ha stabilito come obiettivo per il periodo 2022-2024 la concentrazione dell’attività sulla vigilanza delle banche dati strategiche o che presentano maggiori criticità, che deve andare di pari passo con lo smaltimento dell’arretrato, la semplificazione dell’attività istruttoria ed attuazione dei meccanismi sanzionatori previsti dalla disciplina europea e nazionale; pone inoltre l’attenzione sulla necessità di agire in cooperazione con le autorità di controllo degli altri Stati membri nell’ambito delle ispezioni e indagini congiunte.

Il piano programmatico brevemente descritto si declina in singoli documenti contenenti gli obiettivi programmatici e le linee di priorità dell’Autorità per i singoli anni del triennio, che rappresentano un significativo punto di riferimento per prospettare lo sviluppo delle strategie del Garante nei suoi vari ambiti d’azione, compreso quello che riguarda l’attività ispettiva.

Il documento relativo all’anno 2022, nello specifico, pone come focus dell’attività ispettiva del Garante lo svolgimento di accertamenti nell’ambito dei trattamenti di dati personali nei confronti di “fornitori di database”; i trattamenti di dati effettuati da società (in proprio o per conto terzi) per attività di marketing e profilazione; la corretta gestione dei cookies nell’ambito del trattamento di dati svolto da piattaforme e siti web; il settore del c.d. tracciamento delle operazioni bancarie; il trattamento di dati personali in ambito lavorativo e nel settore della “videosorveglianza” e infine il trattamenti effettuati mediante l’utilizzo delle nuove tecnologie. A questi si aggiunge, come focus dell’attività ispettiva, anche l’ambito delle violazioni di dati personali.

Condividi

Alcuni nostri clienti

Precedente
Successivo

Compet-e srl

A TESISQUARE® Ecosystem Company

Facebook Linkedin

CF – PIVA: 02760970042

Tel: 0172 38 27 63 – Fax: 0172 18 32 072

info@compet-e.it – compet-e@pec.it

Codice fatturazione: USAL8PV

SEDE DI BRA

Via Don Luigi Orione, 202/G
12042 – BRA Fraz. Bandito (CN)

SEDE DI ROMA

Viale Giorgio Ribotta, 11
00144 – ROMA (RM)

Resta sempre aggiornato!

Iscriviti alla nostra newsletter per essere sempre aggiornato sulle novità e le ultime notizie in ambito di compliance, privacy e sicurezza.

Ti invieremo solo notizie interessanti e pertinenti, nessuno spam!

Centro privacy e compliance.

Informative
Privacy Policy & Cookie
Informativa clienti
Informativa fornitori
DPA – Data processing Agreement
Politiche

Politica per la protezione dei dati personali
Politica  sistema di gestione integrato

Diritti degli interessati
Esercizio dei diritti degli interessati
Ci trovi sul Marketplace ACN
Catalogo dei servizi Cloud qualificati per la PA

ACN Cloud Marketplace

Prassi di Riferimento
UNI/PdR 43:2018

logo-dasa-raegister

ISO/IEC 27001:2022
IIS-0223-01

UNI EN ISO 9001:2015
IQ-0423-02

© 2023 COMPET-E SRLinfo@compet-e.itCompet-e Srl – Via Don Luigi Orione 202/G, 12042 Bra fraz. Bandito (CN) – PIVA/CF 02760970042