I controlli riguarderanno soggetti, pubblici e privati di categorie omogenee

È stato pubblicato con deliberazione n. 166 del 12 settembre 2019 il nuovo piano di ispezioni del Garante della privacy relativo al secondo semestre dell’anno in corso.

La citata deliberazione è utile a capire gli ambiti su cui l’Autorità presieduta da Antonello Soro ha deciso di focalizzare gli interventi ispettivi e i relativi soggetti interessati.

Il Garante della privacy, confermando la collaborazione con la Guardia di Finanza, specifica il numero di accertamenti che dovrebbero essere svolti durante il periodo di riferimento: 100 accertamenti ispettivi.

Nel dettaglio le attività ispettive saranno rivolte a:

  1. accertamenti in riferimento a profili di interesse generale per categorie di interessati nell’ambito di:
  2. a) trattamenti dei dati personali effettuati mediante applicativi per la gestione delle segnalazioni di condotte illecite (c.d. whistleblowing);
  3. b) trattamenti di dati personali effettuati da istituti bancari, con particolare riferimento ai flussi verso l’anagrafe dei conti;
  4. c) trattamenti dei dati personali effettuati da intermediari per la fatturazione elettronica;
  5. d) trattamenti di dati personali effettuati da società per attività di marketing;
  6. e) trattamenti di dati personali effettuati da enti pubblici, con riferimento a banche dati di notevoli dimensioni;
  7. f) trattamenti di dati personali effettuati da società con particolare riferimento all’attività di profilazione degli interessati che aderiscono a carte di fidelizzazione;
  8. g) trattamenti di dati personali effettuati da società rientranti nel settore denominato “Food Delivery”;
  9. h) trattamenti di dati personali in ambito sanitario effettuati da parte di società private.
  10. controlli nei confronti di soggetti, pubblici e privati, appartenenti a categorie omogenee sui presupposti di liceità del trattamento e alle condizioni per il consenso qualora il trattamento sia basato su tale presupposto, sul rispetto dell’obbligo dell’informativa nonché sulla durata della conservazione dei dati. Ciò, prestando anche specifica attenzione a profili sostanziali del trattamento che spiegano significativi effetti sugli interessati.

I controlli riguarderanno dunque soggetti, pubblici e privati, appartenenti a categorie omogenee e l’oggetto dei controllo è triplice: rispetto del consenso, quando è richiesto; rispetto dell’informativa; durata della conservazione dei dati.

Il consenso, innanzi tutto, presenta molti trabocchetti sia per la modalità di manifestazione sia per la sua effettiva necessità. Al riguardo è importante ricordare che

  • il consenso non può essere rappresentato da una casella già contrassegnata,
  • il consenso per attività di marketing non deve essere una condizione per poter ottenere un servizio principale,
  • per i dati sensibili il consenso deve essere esplicito,
  • per i minori il consenso deve essere formulato dai genitori.

Maggiori difficoltà derivano dall’obbligo di rispettare un termine massimo di conservazione dei dati.

Tale adempimento non è sempre facile da applicare perché molto spesso non c’è un termine determinato dalla legge o da provvedimenti univoci; molto spesso aziende ed enti hanno timore a cancellare i dati e quasi sempre non ci sono regole interne sul termine di conservazione. Si ricorda, invece, che bisogna essere in grado di dimostrare al Garante perché i dati sono conservati per un certo periodo.

Quanto al rispetto dell’informativa, è necessario verificare l’esistenza degli atti di informazione e del loro contenuto, tenendo ben presente quanto indicato agli articoli 13 e 14 del Regolamento Ue 2016/679 (GDPR).