Il piano ispettivo per il secondo semestre del 2020 prevede 30 ispezioni effettuate dalla Guardia di Finanza per accertamenti relativi a profili di interesse generale per categorie di interessati nell’ambito di trattamenti dei dati personali per il cosiddetto whistleblowing, trattamenti relativi alla fatturazione elettronica, trattamenti effettuati da Enti pubblici attraverso l’accesso ad ANPR (per il rilascio di certificati), trattamenti di dati personali nell’ambito del servizio di call center, trattamenti di dati effettuati nel settore denominato food delivery, trattamento di dati personali effettuati da società private in tema di banche reputazionali e data breach.
Pandemia e Privacy: su cosa si concentra il focus
Il tema della correttezza del trattamento dei dati è stato un elemento centrale del periodo marzo-maggio 2020, quando moltissimi utenti, costretti a casa dalle restrizioni legislative, hanno effettuato accessi a numerose piattaforme online: si è infatti potuto registrare un incremento significativo dell’attività di e-commerce, sia sviluppati direttamente dalle aziende per commercializzare i propri prodotti, sia di portali tematici o locali.
Il periodo del primo lockdown è stato caratterizzato anche da alcuni data breach “epici”, come quello del portale INPS nel momento in cui sono state aperte le registrazioni per i vari bonus una tantum concessi alle categorie danneggiate dalle chiusure.
Su queste basi, il Garante ha ritenuto di mantenere l’attenzione su alcune posizioni considerate rilevanti e sensibili (come, ad esempio, i portali per la fatturazione elettronica), tenendo ferma la voce relativa al data breach, ed aggiungendo settori prima non interessati da ispezioni, come le società di Food Delivery; ancora nel mirino del Garante, per le ragioni che si diranno, le società che effettuano attività di call center.
L’attenzione sui data breach
Il Garante non può in nessun caso evitare di effettuare la propria attività ispettiva nei casi di data breach, per più di una ragione.
In primo luogo, il data breach è l’evento di danno più macroscopico che possa verificarsi in materia di trattamento dei dati personali: detto altrimenti, se si verifica, significa che l’architettura della compliance doveva essere rivista, forse anche a fondo.
In secondo luogo, alcune ipotesi di data breach sono talmente eclatanti da non consentire inerzia; si pensi ai casi di INPS e Unicredit, solo per citare i più recenti e celebri.
In queste situazioni, è necessario che il Garante si esprima con chiarezza, indicando le misure da adottare e, soprattutto, dando al cittadino la percezione che il controllo sulla tutela dei dati personali è effettivo ed efficace.
In conclusione, il data breach resterà sempre una delle voci dell’elenco del programma ispettivo del Garante, anche perché è una delle poche ipotesi di violazione certamente misurabile.
Le società di Food Delivery
In un contesto in cui i locali (bar e ristoranti su tutti) sono di fatto costretti alla chiusura, facendo salve solo le ipotesi di consumo per asporto e consegna a domicilio, è chiaro che le società che gestiscono portali ed app nel settore di food delivery siano un soggetto strategico sul piano economico per un settore estremamente rilevante dell’economia nazionale.
Da questo discende che la qualità e la quantità dei dati che trattano possa diventare un archivio di estremo interesse per più soggetti, interessati a conoscere gusti e abitudini dei consumatori.
A parere di chi scrive, quindi, la scelta del Garante di concentrare il focus su questi soggetti appare più che opportuna in relazione al momento storico che stiamo vivendo.
D’altra parte, l’utilizzo di app di questo genere è diventato talmente comune da non poter più essere considerato marginale o legato solamente ad alcune grandi città: i servizi di food delivery stanno, infatti, arrivando a coprire tutto il territorio nazionale, perché sono cambiate le abitudini degli utenti.
In conclusione, quindi, oltre alle privacy policy ed alle cookie policy impostate da questo tipo di società, è opinione di chi scrive che il Garante farebbe bene a concentrare il focus ispettivo sulle prassi interne e sull’effettivo rispetto delle policy, andando a verificare in loco il comportamento degli operatori.
Verosimile che anche una seria verifica sulla cybersecurity di queste società sia nel focus ispettivo del Garante.
I call center
Già all’inizio di marzo 2020 la Polizia Postale segnalava un pericoloso aumento delle truffe effettuate telefonicamente.
Che l’attività di telemarketing sia aumentata nel periodo pandemico, peraltro, appare abbastanza chiaro a chiunque abbia un telefono.
Queste le ragioni più contingenti per cui il Garante ha mantenuto il focus sui call center.
Va poi ricordato che nel luglio 2020 il Garante per la protezione dei dati personali ha sanzionato per quasi 17 milioni la Wind Tre Spa per “numerosi trattamenti illeciti di dati” legati in prevalenza ad attività di promozione.
In altre parole, l’esigenza di vigilanza in materia è ancora alta e anche l’iscrizione al registro delle opposizioni non è sempre efficace.
Conclusioni
L’attività ispettiva programmata risente certamente del periodo pandemico, sia per quanto riguarda il focus, sia per quanto attiene al numero degli accessi programmati.
Che siano sufficienti 30 ispezioni per verificare adeguatamente il corretto trattamento dei dati nell’ambito delle categorie selezionate dal Garante appare, infatti, difficilmente dimostrabile.
Va detto, tuttavia, che sembra un approccio realista alla situazione contingente: in un momento in cui nel settore della Giustizia penale si affaccia l’ipotesi delle indagini da remoto, gli accessi ispettivi per la verifica del corretto trattamento dei dati non può che subire una contrazione.
