Con il provvedimento n. 636/ 2023, l’Autorità Garante ha adottato il piano ispettivo del primo semestre 2024, di cui verranno svolti circa 50 accertamenti sulla corretta gestione dei dati su determinate aree di interesse.
L’obiettivo di questo piano ispettivo è di garantire la conformità alle normative sulla protezione dei dati personali in questi settori specifici e assicurare che i trattamenti dei dati avvengano nel rispetto dei diritti e delle libertà fondamentali delle persone.
Quali sono le attività ispettive programmate?
Le attività ispettive programmate sono:
- Trattamento dei dati da parte degli istituti scolastici: si prevede un’attenzione particolare al trattamento dei dati mediante registri elettronici e suite digitali utilizzati dagli istituti scolastici;
- Controlli sugli accessi illeciti alle banche dati pubbliche: esame circa gli accessi illeciti alle banche dati pubbliche (tra cui l’anagrafe tributaria e la banca dati INPS). Questi controlli prevedono anche accessi ispettivi in loco per verificare la conformità alle normative sulla protezione dei dati personali;
- Trattamento dei dati personali dei lavoratori tramite sistemi informativi aziendali e dispositivi su veicoli aziendali;
- Ispezioni sui gestori dell’identità digitale SPID: saranno condotte ispezioni continue sui gestori di identità digitale Spid e sulla catena di soggetti affiliati che forniscono servizi fiduciari, come la firma digitale;
- Verifiche sulla corretta implementazione delle Linee guida in materia di cookie e strumenti di tracciamento;
- Controlli nel settore energetico: particolare attenzione all’attivazione di contratti non richiesti e alla valutazione dell’affidabilità della clientela;
- Ispezioni sulle società che gestiscono sistemi di allarme con eventuali connessi da remoto, per garantire la sicurezza dei dati personali degli utenti;
- Trattamenti in ambito statistico e di ricerca scientifica presso gli uffici SISTAN e gli IRCCS;
- Nuovo ciclo di attività di controllo nel Sistema informativo dei visti (VIS): sono previsti dei controlli nel sistema informativo dei visti per garantire la corretta gestione dei dati personali in questo contesto;
- Controlli sul corretto ottenimento del consenso al marketing e alla profilazione, nonché sulle campagne di telemarketing.
In conclusione, il Garante privacy e la Guardia di Finanza intensificheranno i controlli su una vasta gamma di enti al fine di garantire il rispetto delle normative sulla privacy e prevenire eventuali abusi nell’uso dei dati personali.
Quali evidenze vengono richieste durante un’ispezione?
Di seguito riportato l’estratto di un documento ufficiale di richiesta inviata dal Garante per la Protezione dei dati in fase di ispezione:
«Oggetto: Richiesta di informazioni ai sensi dell’art. 58, comma 1, lettera a) ed e), del Regolamento generale sulla protezione dei dati (UE) 2016/679 (di seguito Rgdp) e dell’art. 157 e 158 del decreto legislativo n. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali) (di seguito Codice)
Con riferimento al trattamento di dati personali effettuatosi invita il soggetto in indirizzo, ai sensi dell’art. 58, c. 1, lettera a) ed e), del Rgdp e dell’art. 157e 158 del Codice, a comunicare all’organo incaricato di notificare la presente richiesta:
- struttura ed organizzazione della società;
- distribuzione delle funzioni in materia di protezione dei dati personali;
- modalità con la quale viene fornita agli interessati l’informativa di cui agli art. 13 e14 del Rgdp acquisendo copia della relativa documentazione;
- modalità di acquisizione dei consensi ai sensi degli artt. 7 e 8 del Rgdp, per le ulteriori finalità (marketing — profilazione – comunicazione dei dati a soggetti terzi) con relativa documentazione;
- eventuale istituzione del registro dei trattamenti mettendone a disposizione copia dello stesso (art. 30 Rgdp);
- eventuale designazione di responsabili esterni (e/o sub responsabili) del trattamento con acquisizione del relativo contratto e designazione (art. 28 del Rgdp);
- eventuale nomina del DPO in relazione agli artt. 37 e segg. del Rgdp;
- soggetti autorizzati ad accedere ai dati personali oggetto del trattamento e documentazione relativa all’istruzione ed alla formazione degli incaricati ed eventuale copia delle nomine a incaricati (art. 29 Rgdp);
- tipologia di profilazione effettuata e descrizione dettagliata del suo funzionamento, con particolare riferimento alle modalità di raccolta, di aggregazione e di analisi dei dati personali della clientela;
- eventuale utilizzo a fini di profilazione di dati particolari dell’interessato (art. 9Rgdp);
- tipologia di attività di marketing effettuato a seguito della profilazione;
- il periodo di conservazione dei dati di profilazione personali ovvero i criteri utilizzati per determinare tale periodo;
- valutazione d’impatto eventualmente effettuata in relazione ai trattamenti dei dati oggetto della profilazione tenendo conto di quanto previsto al riguardo nella delibera del Collegio datata 11 ottobre 2018 (vgs. doc. web. 9058979) fornendogli elementi di tale valutazione;
- presupposti, ambito e modalità di comunicazione a terzi dei dati, anche in riferimento ad eventuali società controllanti, controllate o collegate e dall’eventuale trasferimento dei dati in paesi non appartenenti all’Unione europea;
- procedure poste in essere per l’esercizio dei diritti degli interessati (artt. 15 a 22del Rgdp);
- misure tecniche ed organizzative adeguate per garantire un livello di sicurezza adeguato al rischio (art. 32 del Rgdp) con particolare riferimento a:
- eventuale pseudonimizzazione e cifratura dei dati personali;
- capacità di assicurare la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi del trattamento;
- capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;
- una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche ed organizzative al fine di garantire la sicurezza del trattamento;
- principali applicazioni utilizzate sui sistemi (client server/web application);
- misure idonee per accedere a banche dati (username e password; strong authentication;
- audit effettuato sia internamente che presso eventuali responsabili esterni;
- eventuali alert implementati su sistemi;
- eventuale backup sui dati.
- Eventuali ulteriori documenti utili all’istruttoria dovranno pervenire, entro e non oltre15 giorni dalla notifica della presente richiesta di informazioni, all’organo incaricato di notificare la presente richiesta, per il successivo inoltro al Garante.
Nel far presente che per ogni ulteriore informazione è possibile rivolgersi al Dipartimento in intestazione, si ricorda che, in caso di inottemperanza alla presente richiesta, questa Autorità Garante si riserva di valutare i presupposti per l’applicazione delle sanzioni previste dall’art. 166, comma 2, del Codice per la violazione dell’art. 157 (richiesta di informazione o esibizione di documenti) e delle sanzioni previste dall’art 83, comma S, lettera e),per la violazione dell’art. 58, paragrafo 1, (negato accesso).”
Quali strumenti utilizzare?
Puoi usare GRC CORA per avere sempre a disposizione tutte le informazioni necessarie, in tempo reale, e con la possibilità di accedere ai dati ad una specifica data storica.
Maggiori informazioni su tutte le funzionalità: https://www.grccora.com/cora-gdpr/
