Con Deliberazione del primo ottobre 2020 – diffusa con la newsletter di ieri– l’Autorità Garante per la protezione dei dati personali ha approvato il piano ispettivo per il secondo semestre del 2020. Si tratta di un provvedimento atteso e che indica quali saranno gli ambiti di intervento su cui si concentrerà l’attività ispettiva di iniziativa curata dall’Ufficio del Garante, anche per mezzo della Guardia di finanza, per il periodo che va dallo scorso luglio al prossimo dicembre. È questo, peraltro, il primo atto di indirizzo in materia di accertamenti firmato dal nuovo Collegio insediatosi questa estate.
Le aree cruciali del nuovo piano ispettivo del Garante privacy
Scorrendo le aree oggetto di delibera è possibile notare una certa continuità rispetto al piano ispettivo che copriva il periodo gennaio-giungo 2020, l’ultimo curato dal Collegio presieduto da Antonello Soro. L’attenzione dell’Autorità continuerà a interessare aree cruciali e delicate per la privacy come i «trattamenti dei dati personali effettuati mediante applicativi per la gestione delle segnalazioni di condotte illecite (c.d. whistleblowing)», i «trattamenti dei dati personali effettuati da intermediari per la fatturazione elettronica» e i «trattamenti di dati personali effettuati da Enti pubblici in tema di rilascio di certificati anagrafici e di stato civile, attraverso l’accesso ad ANPR».
Figurano poi nell’elenco anche il settore dei call center («trattamenti di dati personali effettuati da società private ed Enti pubblici per la gestione e la registrazione delle telefonate nell’ambito del servizio di call center») e quelle delle società di rating reputazionale («trattamento di dati personali effettuati da società private in tema di banche reputazionali»).
Vi è tuttavia un nuovo punto sull’agenda delle ispezioni del Garante. L’Autorità ha infatti deciso di indirizzare i propri accertamenti anche nei confronti dei data breach. Si tratta di un dato dall’indiscusso valore sistematico e dalle evidenti ricadute pratiche. Le violazioni di dati personali entrano così nel raggio di azione della lente ispettiva del Garante dopo che in questi primi due anni di applicazione del GDPR l’Autorità ha potuto osservare l’atteggiamento degli operatori del mercato, pubblici e privati, raccogliendo informazioni e feedback sulle prassi e le modalità seguite da titolari, responsabili, sub responsabili e Data Protection Officer nella gestione di tali eventi patologici.
Il campione di osservazione, del resto, ha raggiunto nel tempo numeri di tutto riguardo: secondo la Relazione annuale diffusa qualche mese fa, nel corso del 2019 sono stati ben 1443 i data breach notificati, numero che va sommato alle 650 notifiche pervenute all’Autorità dal 1° marzo al 31 dicembre 2018 (Relazione annuale 2018) e a tutte quelle sopraggiunte nel corrente anno.
Accertamenti autonomi
L’Autorità Garante ha così potuto studiare il campo, individuando le metriche più diffuse e il livello di awareness dedicato alle violazioni di dati personali, preparandosi ora a intervenire in quelli che con tutta probabilità saranno accertamenti autonomi, nativi, svincolati cioè da precedenti notificazioni.
Se questa, come sembra, è l’interpretazione da attribuire al provvedimento del 1° ottobre, c’è da aspettarsi che al centro delle scrupolose attenzioni dell’Ufficio ricadranno prima di tutto la presenza e l’accuratezza di policy e procedure dedicate alla gestione e la detection dei data breach in aziende e pubbliche amministrazioni.
In conclusione
Tutto ciò non deve ovviamente sorprendere. L’architettura di attori e obblighi su cui il Regolamento europeo ha eretto l’istituto della violazione di dati personali non sarebbe potuta rimanere ancora a lungo estranea al controllo e alle indicazioni guida del Garante, soprattutto dopo un intero biennio di esperienza diffusa.
Nondimeno, occorre evidenziare come tale nuovo settore di scrutinio rappresenta il primo, vero, banco di prova della filiera di responsabilità che lega titolare, responsabili e sub responsabili del trattamento (e con un ruolo non di mera comparsa anche da parte del DPO).
Nei prossimi mesi il regime di responsabilità solidale tra data controller e data processor sarà sottoposto al primo test di resistenza all’enforcement e i risultati non potranno che interessare tutti da vicino.
