La pubblicazione del nuovo piano di ispezioni del Garante privacy relativo al secondo semestre del 2024 offre degli spunti utili per le organizzazioni, seguendo il tracciato del precedente semestre così come l’approfondimento di nuovi ambiti.
Il piano delle ispezioni
L’Autorità Garante per la protezione dei dati personali ha deliberato in data 4 luglio 2024 il piano dell’attività ispettiva da svolgere nel periodo da luglio a dicembre 2024, prevedendo almeno 35 accertamenti ispettivi di iniziativa effettuati anche a mezzo del Nucleo speciale tutela privacy e frodi tecnologiche della Guardia di finanza negli ambiti individuati all’interno del provvedimento. È stata inoltre prevista un’attività di informazione mensile nei confronti del Collegio sull’andamento delle ispezioni, in modo tale da poter valutare l’efficacia delle stesse.
La continuità rispetto al semestre precedente
Rispetto al primo semestre 2024 viene confermata l’attività di accertamento relativa agli accertamenti in riferimento a profili di interesse generale per categorie di interessati nell’ambito di:
- accertamenti nei confronti di società che gestiscono sistemi di allarme con possibilità di connessione audio/video da remoto;
- ispezioni sui gestori dell’identità digitale (SPID) e sulla filiera dei soggetti di cui essi si avvalgono per il rilascio di servizi fiduciari (SPID e firma digitale).
Per quanto riguarda le verifiche relative alla corretta implementazione delle Linee guida in materia di cookie e altri strumenti di tracciamento del 10 giugno 2021, il piano prosegue l’attività dirigendola via prioritaria nei confronti di soggetti fornitori di servizi digitali caratterizzati da maggiore diffusione. Molto importante in tal senso saranno anche le nuove linee guida EDPB 2/2023 relative all’ambito di applicazione della Direttiva ePrivacy.
Lotta al telemarketing
La continuità rispetto al precedente piano ispettivo si caratterizza anche per la previsione di ulteriori interventi in ambito marketing e, in particolare, campagne di telemarketing (ricordiamo che nel precedente semestre l’attenzione era focalizzata su titolari del trattamento in ordine ai problemi concernenti il consenso al marketing e alla profilazione nonché in relazione allo svolgimento di campagne di telemarketing.
Non si allenta, inoltre, la stretta sulle attivazioni non richieste, in particolare nel settore energetico. Tale attività di controllo era stata implementata anche nel precedente semestre e, pertanto, ha già avuto esito nei recenti provvedimenti che, per l’appunto, hanno stigmatizzato e sanzionato condotte non conformi (e talvolta illecite) con particolare riguardo dell’attivazione di contratti non richiesti e all’attività di valutazione dell’affidabilità della clientela.
Tutti i settori oggetto di attenzione sono accomunati dallo svolgimento di attività di trattamento di dati personali connotate da un elevato rischio intrinseco, quasi certamente la valutazione delle misure di sicurezza, il rispetto dell’art. 32 GDPR e il corretto svolgimento della valutazione preliminare d’impatto ove richiesta dall’art. 35 GDPR saranno le principali tematiche oggetto di verifica ispettiva.
Nuovi ambiti di ispezione
Dal programma del secondo semestre 2024 anche nuovi ambiti di intervento, relativamente a:
- società specializzate in informazioni commerciali e nelle indagini sull’affidabilità creditizia;
- trattamenti di dati posti in essere nel contesto dei veicoli connessi;
evidentemente in un’ottica di maggiore protezione dei consumatori quali interessati vulnerabili in ragione delle asimmetrie contrattuali presenti. Asimmetrie che comportano una particolare difficoltà dell’interessato di ricevere – o anche, soprattutto, comprendere – le informazioni circa le attività condotte sui propri dati personali. O finanche essere consapevole della raccolta di tali dati, e per l’effetto viene meno ogni possibilità di controllo effettivo mediante l’esercizio dei propri diritti.
Quali spunti per le organizzazioni e i professionisti
La corretta conduzione di valutazioni d’impatto privacy in cui innanzitutto vengono individuate le basi giuridiche applicabili alle attività svolte sui dati personali è una priorità inescludibile per i titolari che operano all’interno di tali settori, così come il ricorso ad accordi nei confronti dei responsabili conformi all’art. 28 GDPR. Entrambi tali adempimenti non devono essere infatti affrontati come meri formalismi, bensì hanno portata sostanziale in quanto possono consentire l’applicazione di correttivi sia per l’attività svolta in veste di titolare che di responsabile del trattamento. Consentendo così di prevedere, implementare e valutare tutte le garanzie affinché le attività siano innanzitutto svolte in modo lecito, garantendo i diritti degli interessati e applicando i principi del GDPR in ossequio al metodo di privacy by design.
In particolare, l’esito dei procedimenti scaturiti dai precedenti piani ispettivi, non lascia spazio al dubbio rispetto alla necessità di prestare grande attenzione alla fase di analisi del rischio, prima ancora che alla sua valutazione.
Da tale analisi, infatti, i titolari dovranno evidenziare tutti gli scenari di rischio anche in ordine alla liceità dei trattamenti effettuati prima che i dati arrivino effettivamente nella disponibilità del titolare. Ci riferiamo, ovviamente, alla catena degli outsourcers che deve essere disciplinata con misure che operino di default e sl fine di impedire condotte illecite o comunque non conformi e non solo con controlli postumi.
Cosa devono fare i professionisti della privacy
I professionisti della privacy, siano essi DPO, Privacy Officer o Privacy Manager, ad esempio, dovranno prendere atto delle indicazioni già fornite all’interno dei provvedimenti adottati dal Garante in questi ambiti e soprattutto cogliere l’occasione per svolgere o sollecitare il riesame dei processi maggiormente critici. Rendicontando così le verifiche svolte, in ossequio al principio di accountability che richiede una continua valutazione di adeguatezza delle decisioni assunte su misure tecniche e organizzative per garantire la compliance (e la sicurezza) delle attività di trattamento svolte sui dati personali.
Conclusioni
Considerati i settori d’intervento, è chiaro come titolari, responsabili del trattamento e professionisti della privacy non possano esimersi dal considerare la complessità normativa in materia di protezione dei dati personali per cui è richiesto un coordinamento delle varie fonti di rango anche non primario (quali provvedimenti delle autorità di controllo, linee guida o interventi EDPB) proprio per essere in grado di riscontrare operativamente quell’adeguatezza più volte richiamata nel GDPR e spesso difficile da attuare.
