I controlli riguarderanno soggetti, pubblici e privati di categorie omogenee
È stato pubblicato con deliberazione n. 166 del 12 settembre 2019 il nuovo piano di ispezioni del Garante della privacy relativo al secondo semestre dell’anno in corso.
La citata deliberazione è utile a capire gli ambiti su cui l’Autorità presieduta da Antonello Soro ha deciso di focalizzare gli interventi ispettivi e i relativi soggetti interessati.
Il Garante della privacy, confermando la collaborazione con la Guardia di Finanza, specifica il numero di accertamenti che dovrebbero essere svolti durante il periodo di riferimento: 100 accertamenti ispettivi.
Nel dettaglio le attività ispettive saranno rivolte a:
- accertamenti in riferimento a profili di interesse generale per categorie di interessati nell’ambito di:
- a) trattamenti dei dati personali effettuati mediante applicativi per la gestione delle segnalazioni di condotte illecite (c.d. whistleblowing);
- b) trattamenti di dati personali effettuati da istituti bancari, con particolare riferimento ai flussi verso l’anagrafe dei conti;
- c) trattamenti dei dati personali effettuati da intermediari per la fatturazione elettronica;
- d) trattamenti di dati personali effettuati da società per attività di marketing;
- e) trattamenti di dati personali effettuati da enti pubblici, con riferimento a banche dati di notevoli dimensioni;
- f) trattamenti di dati personali effettuati da società con particolare riferimento all’attività di profilazione degli interessati che aderiscono a carte di fidelizzazione;
- g) trattamenti di dati personali effettuati da società rientranti nel settore denominato “Food Delivery”;
- h) trattamenti di dati personali in ambito sanitario effettuati da parte di società private.
- controlli nei confronti di soggetti, pubblici e privati, appartenenti a categorie omogenee sui presupposti di liceità del trattamento e alle condizioni per il consenso qualora il trattamento sia basato su tale presupposto, sul rispetto dell’obbligo dell’informativa nonché sulla durata della conservazione dei dati. Ciò, prestando anche specifica attenzione a profili sostanziali del trattamento che spiegano significativi effetti sugli interessati.
I controlli riguarderanno dunque soggetti, pubblici e privati, appartenenti a categorie omogenee e l’oggetto dei controllo è triplice: rispetto del consenso, quando è richiesto; rispetto dell’informativa; durata della conservazione dei dati.
Il consenso, innanzi tutto, presenta molti trabocchetti sia per la modalità di manifestazione sia per la sua effettiva necessità. Al riguardo è importante ricordare che
- il consenso non può essere rappresentato da una casella già contrassegnata,
- il consenso per attività di marketing non deve essere una condizione per poter ottenere un servizio principale,
- per i dati sensibili il consenso deve essere esplicito,
- per i minori il consenso deve essere formulato dai genitori.
Maggiori difficoltà derivano dall’obbligo di rispettare un termine massimo di conservazione dei dati.
Tale adempimento non è sempre facile da applicare perché molto spesso non c’è un termine determinato dalla legge o da provvedimenti univoci; molto spesso aziende ed enti hanno timore a cancellare i dati e quasi sempre non ci sono regole interne sul termine di conservazione. Si ricorda, invece, che bisogna essere in grado di dimostrare al Garante perché i dati sono conservati per un certo periodo.
Quanto al rispetto dell’informativa, è necessario verificare l’esistenza degli atti di informazione e del loro contenuto, tenendo ben presente quanto indicato agli articoli 13 e 14 del Regolamento Ue 2016/679 (GDPR).