100 ispezioni dal Garante, entro fine 2019

Il Garante della privacy passa al setaccio il periodo di conservazione dei dati e la regolarità di consensi e informative. È uno dei due filoni del piano ispettivo per il secondo semestre 2019 dell'autorità presieduta da Antonello Soro, di cui dà conto la deliberazione n. 166 del 12 settembre 2019. L'altro filone è quello degli accertamenti di carattere generali su ambiti specifici, tra i quali spiccano i trattamenti collegati alla fatturazione elettronica e i dati trasmessi dalle banche all'anagrafe dei conti tenuta dal Fisco.

In totale sono programmate fino alla fine del 2019 cento ispezioni. Vanno oltre il numero programmato le ispezioni attività su segnalazioni e reclami e anche altre promosse d'ufficio dallo stesso Garante. Ma vediamo di approfondire i contenuti del piano ispettivo, che può preludere alla applicazione di sanzioni amministrative pesantissime (fino a 20 milioni di euro).

Controlli - I controlli riguarderanno soggetti, pubblici e privati, appartenenti a categorie omogenee. L'oggetto dei controllo è triplice: rispetto del consenso, quando è richiesto; rispetto dell'informativa; durata della conservazione dei dati. Questi adempimenti sono tra quelli che danno più da pensare a privati e pubblica amministrazione. Il consenso, innanzi tutto, presenta molti trabocchetti sia per la modalità di manifestazione sia per la sue effettiva necessità. Il consenso non può essere rappresentato da una casella già contrassegnata, quello per marketing non deve essere una condizione per poter ottenere un servizio principale, per i dati sensibili deve essere esplicito, per i minori deve essere formulato dai genitori e così via. Così come bisogna fare attenzione al legittimo interesse, che è un presupposto alternativo al consenso, ma che non si sa bene quando potervi ricorrere: cosicché abusare del legittimo interesse di norma significa aver violato l'obbligo di consenso. Un numero maggiore di insidie arriva dall'obbligo di rispettare un termine massimo di conservazione dei dati. È un adempimento volatile, non facile da applicare perché molto spesso non c'è un termine determinato dalla legge o da provvedimenti univoci; molto spesso aziende ed enti hanno timore a cancellare i dati e quasi sempre non ci sono regole interne sul termine di conservazione e, anzi, il titolare del trattamento nemmeno si pone il problema. Si ricorda, invece, che bisogna saper spiegare al Garante perché sono conservati dati per un certo periodo, soprattutto se vengono uste per ragioni di marketing diretto o per profilazione. Il rispetto dell'informativa significa verifica dell'esistenza degli atti di informazione e del loro contenuto. A quest'ultimo proposito bisogna tenere conto non solo degli articoli 13 e 14 del Regolamento Ue sulla privacy 2016/679, ma anche delle prescrizioni specifiche, come ad esempio quelle in materia di cookie mediante i siti internet.

Accertamenti - Il filone degli accertamenti è costituito da ispezioni relative profili di interesse generale per categorie di interessati. Tra questi si annoverano le banche e in particolare i flussi verso l'anagrafe dei conti, tenuta dal Fisco; gli intermediari del servizio la fatturazione elettronica; le società per attività di marketing; gli enti pubblici, con riferimento a banche dati di notevoli dimensioni; attività di profilazione e fidelizzazione; le società rientranti del Food Delivery; la sanità privata.

Altre ispezioni - L'altro filone ispettivo ulteriore (oltre il limite delle cento pratiche) è quello delle attività ispettive e di revisione d'ufficio o innescate da segnalazioni o reclami proposti dagli interessati.

Fonte: Italia Oggi - Articolo di Antonio Ciccia Messina

________________________________________________________________________________

Mi vorrei concentrare proprio sull'ultimo punto, citato da Ciccia Messina: "altre ispezioni". Infatti, le 100 ispezioni programmate, sono quelle previste dall'ufficio del Garante, ma come abbiamo già ricordato in altre news, le segnalazioni possono giungere da soggetti interessati di vario genere, forze dell'ordine, azioni di "class action" da parte di utenti di servizi vari, dipendenti coinvolti in controversie col proprio datore di lavoro, etc.  Sicuramente, l'attività dell'ufficio del Garante andrà un pò a rilento da qui a dicembre, periodo di proroga dell'incarico ormai scaduto di Antonello Soro. Subirà probabilmente un'accellerazione nei primi mesi del prossimo anno.

Il numero di violazioni subite dai titolari del trattamento (aziende, enti, etc.) è in costante aumento e le notifiche giunte al Garante hanno superato le 600.000, da maggio 2018. Gli attacchi informatici sono sicuramente al centro dell'attenzione e l'attività ispettiva avrà certamente come focus centrale l'analisi delle potenziali falle delle reti aziendali come la vetustità dei software, la forza delle password impiegate, la presenza di elementi di protezione come firewall e antivirus/antiransomware, sistemi di log management, sistemi di criptazione dati, etc.

Ribadiamo, ancora una volta, quindi, l'importanza di implementare dei sistemi adeguati di protezione del dato ed effettuare delle verifiche delle vulnerabilità dei sistemi. Questo viene suggellato, in modo implicito, dall art. 32 del gdpr e dall'art. 24 del gdpr, ove viene precisata la responsabilità del titolare del trattamento, ovvero dell'entità giuridica per la quale il dato viene trattato, e, infine del rappresentante legale che lo rappresenta. Infatti, nel gdpr si fa riferimento alle misure tecniche e organizzative idonee, ma, come si fa ad attuare la misura idonea se non si ha ben presente lo stato dell'arte della propria organizzazione e dei propri sistemi?

Durante l'ispezione, gli organi di controllo avranno a disposizione delle check list da seguire pedissequamente. Ci saranno da verificare gli aspetti formali e burocratici, i ruoli dei soggetti privacy, i flussi e la gestione dei dati in azienda e le misure di protezione e tutela intraprese.

Gli strumenti a disposizione del Garante non sono solamente sanzionatori, ma possono "limitarsi", nei casi meno gravi, ad ammonimenti o a impedimenti temporanei di trattamento di dati. Quest'ultima possibilità non renderebbe il provvedimento meno grave di una sanzione. Immaginiamo un'agenzia immobiliare o un'agenzia di asicurazioni che non abbia il permesso di utilizzare i dati dei propri clienti, fino all'implementazione di una nuova organizzazione dei propri sistemi, magari per 3 o 6 mesi. Significherebbe il blocco totale della sua attività con conseguenze esiziali.

 

Daniele Spano

 

 

 

 

 

 

 

 

 


CONDIVIDI: