il piano del garante

Ispezioni privacy 2024: ecco che devono sapere le aziende



Indirizzo copiato

Il Garante Privacy annuncia il piano ispettivo per il secondo semestre 2024, con 35 ispezioni mirate. Si confermano controlli su SPID e marketing, mentre nuovi ambiti includono veicoli connessi e società di credito. Le organizzazioni devono focalizzarsi su analisi del rischio e compliance per garantire la protezione dei dati

Pubblicato il 23 ott 2024

Sergio Aracu

Founding Partner di Area Legale S.r.l.

Stefano Gazzella

Responsabile Comitato Scientifico, Privacy Officer Associazione Italiana Influencer



garante privacy, g7 privacy roma (1)

La pubblicazione del nuovo piano di ispezioni del Garante privacy relativo al secondo semestre del 2024 offre degli spunti utili per le organizzazioni, seguendo il tracciato del precedente semestre così come l’approfondimento di nuovi ambiti.

Il piano delle ispezioni

L’Autorità Garante per la protezione dei dati personali ha deliberato in data 4 luglio 2024 il piano dell’attività ispettiva da svolgere nel periodo da luglio a dicembre 2024, prevedendo almeno 35 accertamenti ispettivi di iniziativa effettuati anche a mezzo del Nucleo speciale tutela privacy e frodi tecnologiche della Guardia di finanza negli ambiti individuati all’interno del provvedimento. È stata inoltre prevista un’attività di informazione mensile nei confronti del Collegio sull’andamento delle ispezioni, in modo tale da poter valutare l’efficacia delle stesse.

La continuità rispetto al semestre precedente

Rispetto al primo semestre 2024 viene confermata l’attività di accertamento relativa agli accertamenti in riferimento a profili di interesse generale per categorie di interessati nell’ambito di:

  • accertamenti nei confronti di società che gestiscono sistemi di allarme con possibilità di connessione audio/video da remoto;
  • ispezioni sui gestori dell’identità digitale (SPID) e sulla filiera dei soggetti di cui essi si avvalgono per il rilascio di servizi fiduciari (SPID e firma digitale).

Per quanto riguarda le verifiche relative alla corretta implementazione delle Linee guida in materia di cookie e altri strumenti di tracciamento del 10 giugno 2021, il piano prosegue l’attività dirigendola via prioritaria nei confronti di soggetti fornitori di servizi digitali caratterizzati da maggiore diffusione. Molto importante in tal senso saranno anche le nuove linee guida EDPB 2/2023 relative all’ambito di applicazione della Direttiva ePrivacy.

Lotta al telemarketing

La continuità rispetto al precedente piano ispettivo si caratterizza anche per la previsione di ulteriori interventi in ambito marketing e, in particolare, campagne di telemarketing (ricordiamo che nel precedente semestre l’attenzione era focalizzata su titolari del trattamento in ordine ai problemi concernenti il consenso al marketing e alla profilazione nonché in relazione allo svolgimento di campagne di telemarketing.

Non si allenta, inoltre, la stretta sulle attivazioni non richieste, in particolare nel settore energetico. Tale attività di controllo era stata implementata anche nel precedente semestre e, pertanto, ha già avuto esito nei recenti provvedimenti che, per l’appunto, hanno stigmatizzato e sanzionato condotte non conformi (e talvolta illecite) con particolare riguardo dell’attivazione di contratti non richiesti e all’attività di valutazione dell’affidabilità della clientela.

Tutti i settori oggetto di attenzione sono accomunati dallo svolgimento di attività di trattamento di dati personali connotate da un elevato rischio intrinseco, quasi certamente la valutazione delle misure di sicurezza, il rispetto dell’art. 32 GDPR e il corretto svolgimento della valutazione preliminare d’impatto ove richiesta dall’art. 35 GDPR saranno le principali tematiche oggetto di verifica ispettiva.

Nuovi ambiti di ispezione

Dal programma del secondo semestre 2024 anche nuovi ambiti di intervento, relativamente a:

  • società specializzate in informazioni commerciali e nelle indagini sull’affidabilità creditizia;
  • trattamenti di dati posti in essere nel contesto dei veicoli connessi;

evidentemente in un’ottica di maggiore protezione dei consumatori quali interessati vulnerabili in ragione delle asimmetrie contrattuali presenti. Asimmetrie che comportano una particolare difficoltà dell’interessato di ricevere – o anche, soprattutto, comprendere – le informazioni circa le attività condotte sui propri dati personali. O finanche essere consapevole della raccolta di tali dati, e per l’effetto viene meno ogni possibilità di controllo effettivo mediante l’esercizio dei propri diritti.

Quali spunti per le organizzazioni e i professionisti

La corretta conduzione di valutazioni d’impatto privacy in cui innanzitutto vengono individuate le basi giuridiche applicabili alle attività svolte sui dati personali è una priorità inescludibile per i titolari che operano all’interno di tali settori, così come il ricorso ad accordi nei confronti dei responsabili conformi all’art. 28 GDPR. Entrambi tali adempimenti non devono essere infatti affrontati come meri formalismi, bensì hanno portata sostanziale in quanto possono consentire l’applicazione di correttivi sia per l’attività svolta in veste di titolare che di responsabile del trattamento. Consentendo così di prevedere, implementare e valutare tutte le garanzie affinché le attività siano innanzitutto svolte in modo lecito, garantendo i diritti degli interessati e applicando i principi del GDPR in ossequio al metodo di privacy by design.

In particolare, l’esito dei procedimenti scaturiti dai precedenti piani ispettivi, non lascia spazio al dubbio rispetto alla necessità di prestare grande attenzione alla fase di analisi del rischio, prima ancora che alla sua valutazione.

Da tale analisi, infatti, i titolari dovranno evidenziare tutti gli scenari di rischio anche in ordine alla liceità dei trattamenti effettuati prima che i dati arrivino effettivamente nella disponibilità del titolare. Ci riferiamo, ovviamente, alla catena degli outsourcers che deve essere disciplinata con misure che operino di default e sl fine di impedire condotte illecite o comunque non conformi e non solo con controlli postumi.

Cosa devono fare i professionisti della privacy

I professionisti della privacy, siano essi DPO, Privacy Officer o Privacy Manager, ad esempio, dovranno prendere atto delle indicazioni già fornite all’interno dei provvedimenti adottati dal Garante in questi ambiti e soprattutto cogliere l’occasione per svolgere o sollecitare il riesame dei processi maggiormente critici. Rendicontando così le verifiche svolte, in ossequio al principio di accountability che richiede una continua valutazione di adeguatezza delle decisioni assunte su misure tecniche e organizzative per garantire la compliance (e la sicurezza) delle attività di trattamento svolte sui dati personali.

Conclusioni

Considerati i settori d’intervento, è chiaro come titolari, responsabili del trattamento e professionisti della privacy non possano esimersi dal considerare la complessità normativa in materia di protezione dei dati personali per cui è richiesto un coordinamento delle varie fonti di rango anche non primario (quali provvedimenti delle autorità di controllo, linee guida o interventi EDPB) proprio per essere in grado di riscontrare operativamente quell’adeguatezza più volte richiamata nel GDPR e spesso difficile da attuare.


EU Stories - La coesione innova l'Italia

Tutti
Analisi
Video
Iniziative
Social
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

Articolo 1 di 3