La pubblicazione del nuovo piano di ispezioni del Garante privacy relativo al primo semestre del 2025 offre degli spunti utili per le organizzazioni, seguendo il tracciato del precedente semestre così come l’approfondimento di nuovi ambiti.
Indice degli argomenti
Il piano delle ispezioni
L’Autorità Garante per la protezione dei dati personali ha deliberato[1] in data 19 dicembre 2024 il piano dell’attività ispettiva da svolgere nel periodo da gennaio a giugno 2025, prevedendo almeno 40 accertamenti ispettivi di iniziativa effettuati anche a mezzo del Nucleo speciale tutela privacy e frodi tecnologiche della Guardia di finanza negli ambiti individuati all’interno del provvedimento aumentando, di fatto, l’attività di controllo (nel precedente erano previsti almeno 35). Viene confermata l’attività di informazione mensile nei confronti del Collegio sull’andamento delle ispezioni, in modo tale da poter valutare l’efficacia delle stesse.
L’aumento dell’effort a livello di numero di accertamenti fa intuire l’estrema attenzione da parte dell’Autorità verso lo strumento ispettivo, anche in considerazione del fatto che, purtroppo, l’esempio delle sanzioni e lo spettro delle ispezioni sembrano tutt’ora essere lo strumento di moral suasion più efficace per convincere pubbliche amministrazioni e imprese a mettersi in conformità.
Chiaramente, non ci resta che sperare che un domani le cose possano migliorare, vedendo magari aumentare la sensibilità, quantomeno delle imprese, rispetto all’incremento di immagine che può derivare dall’essere riconosciute come virtuose a livello di capacità di proteggere le informazioni personali dei propri clienti.
Il focus su data breach e misure di sicurezza
L’intento di focalizzare l’attenzione sugli aspetti di gestione della sicurezza dei trattamenti emerge in modo lampante, anche e soprattutto in risposta agli eventi di data breach che nell’ultimo periodo hanno interessato alcuni settori rilevanti. Stante la frequenza di tali violazioni di dati personali contenuti in “banche dati di particolare rilievo e delicatezza” e la creazione di una task force interdipartimentale[2] con il proposito di contrastare il furto di dati e innalzare il livello di sicurezza.
Lo svolgimento delle attività d’ispezione avverrà “con specifico riferimento alla verifica dei sistemi di sicurezza e ai profili di accessibilità delle banche dati stesse”, andando così a interessare sia le misure tecniche che organizzative predisposte e documentate. Sono specificamente previsti accertamenti nei confronti delle banche dati degli istituti di credito “con specifico riferimento alle violazioni di dati personali oggetto di notificazione al Garante e alla verifica delle misure adottate per rilevarle tempestivamente e/o prevenirle”.
La continuità rispetto al semestre precedente
Proseguono invece gli accertamenti già condotti nel precedente semestre in riferimento ai profili di interesse generale per categorie di interessati nell’ambito di:
- società che gestiscono sistemi di allarme con possibilità di connessione audio/video da remoto;
- raccolta dati finalizzata all’attivazione di contratti non richiesti nel settore energetico. A riguardo, a una prima lettura la formulazione appare curiosamente orientata ad ambiti che, forse, si intersecano con le competenze di altre Autorità (es: AGCM). A ben vedere, però, l’attivazione di contratti non richiesti porta con sé il trattamento di informazioni personali senza alcuna base di legittimazione e, pertanto, ricade pienamente delle competenze dell’Autorità Garante per la Protezione dei dati personali. Di base, quindi, chi verrà sanzionato per tali comportamenti (come in molte altre casistiche) potrà aspettarsi di essere sanzionato anche da altre Autorità e sotto diversi punti di vista a livello di violazione delle norme di legge;
- istituti scolastici in ordine al trattamento dei dati svolto attraverso i registri elettronici.
Per quanto riguarda le verifiche relative alla corretta implementazione delle Linee guida in materia di cookie e altri strumenti di tracciamento del 10 giugno 2021, il piano prosegue l’attività concentrandola sulla verifica dell’impiego dei cookie di profilazione e tenendo conto dei reclami pervenuti a riguardo.
Prosegue l’attenzione sul telemarketing, andando ad approfondire però il trattamento dei dati effettuato dai gestori di call center. Anche qui, sarà probabile che come avvenuto in passato dall’ispezione agli outsourcers si sviluppino poi ulteriori procedimenti nei confronti delle committenze che non hanno saputo monitorarne efficacemente l’operato.
Il semestre sarà caratterizzato infine dalla conclusione del ciclo di ispezioni sui gestori dell’identità digitale (SPID) e sulla filiera dei soggetti di cui essi si avvalgono per il rilascio di servizi fiduciari (SPID e firma digitale).
Nuovi ambiti di ispezione
Dal programma del primo semestre 2025 emergono alcuni nuovi ambiti di intervento, relativamente a:
- verifiche nel campo della statistica in ordine a specifici progetti, inseriti nel PSN, comportanti utilizzo di big data e dati sintetici. Questo punto sarà di sicuro interesse, perché immaginiamo porti l’Autorità (nei suoi eventuali provvedimenti) a fornire un punto di vista rispetto alla qualificazione dei dati sintetici in quanto dati non personali
- verifiche sull’utilizzo di dati biometrici per l’ammissione agli esami della patente di guida presso gli uffici della Motorizzazione civile
- servizi di e-mail marketing, al fine di verificare la liceità dell’acquisizione e l’impiego di indirizzari e banche dati.
Ciò che accomuna i nuovi ambiti di ispezione è la larga scala dei trattamenti da cui deriva un fattore di rischio intrinseco elevato, ancor più significativo nel caso in cui intervengano fattori quali la qualità dei dati e la liceità della loro acquisizione ed impiego.
Quali spunti per le organizzazioni e i professionisti
Organizzazioni e professionisti devono porre particolare attenzione alle valutazioni di rischio svolte, nonché al loro riesame tenendo conto dei mutamenti di contesto e fare in modo che le stesse siano continuamente aggiornate al fine di mantenere il controllo delle attività di trattamento svolte. L’accountability deve pertanto – come dev’essere – garantita in concreto e non attraverso l’adesione a meri formalismi, in quel complesso equilibrio fra libertà d’impresa e garanzia della circolazione dei dati personali e protezione dei diritti e delle libertà fondamentali delle persone fisiche nelle attività di trattamento. Gli aspetti di sicurezza sono parte integrante della corretta gestione dei dati personali e devono essere in grado di svolgere una mitigazione efficace, prevedendo attività di monitoraggio e l’applicazione di correttivi.
Lo svolgimento di una valutazione d’impatto sulla protezione dei dati si conferma essere lo strumento principale che il GDPR pone a disposizione del titolare per progettare e controllare gli adempimenti posti in essere, avvalendosi tanto dell’assistenza dei responsabili che del parere del DPO. Anche nei casi – invero rari negli ambiti individuati dal piano ispettivo – in cui lo svolgimento non sia obbligatorio.
Rafforzare i rapporti sugli outsourcers è sempre più importante per garantire che essi stessi non incorrano in violazioni che porterebbero, inevitabilmente, ad una escalation sulle committenze da parte dell’Autorità di Controllo.
Conclusioni
Gli ambiti di intervento individuati dal piano ispettivo richiedono il miglioramento dei flussi informativi interni e la valorizzazione delle sinergie fra funzioni interne dell’organizzazione e i professionisti esterni, in modo tale da condividere i processi di miglioramento continuo. Una particolare attenzione dev’essere infine posta sulla capacità di comprovare gli adempimenti svolti, che è il naturale precipitato di un sistema di gestione efficace che tiene conto della complessità e soprattutto non si realizza attraverso conformismi.
Note
[1] https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/10100360
[2] https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/10067406
