Background

Il primo febbraio 2018 il Garante per la protezione dei dati personali (“Garante”) ha pubblicato il Piano delle attività ispettive previste per il primo semestre 2018. Secondo tale piano, il Garante concentrerà i suoi controlli, da gennaio a giugno, su attività di trattamento di dati sanitari a fini di ricerca, rating sulla solvibilità delle imprese, sistema statistico nazionale (Sistan), Sistema Pubblico di Identità Digitale (Spid), telemarketing, trattamenti di dati sensibili nonché rispetto dei principi sull’informativa e il consenso, sulla durata della conservazione dei dati e sulla minimizzazione dei dati.

Questioni principali

Nello specifico, l’attività ispettiva del Garante si concentrerà su:

1. ad accertamenti in riferimento a profili di interesse generale per categorie di interessati nell’ambito di:

  • trattamenti di dati sanitari effettuati dalle ASL in relazione al trasferimento degli stessi in favore di terzi per il loro utilizzo a fini di ricerca;
  • trattamenti effettuati dall’ISTAT, per una verifica preliminare sul SIM (Sistema Integrato di Microdati) e altri sistemi informativi statistici come da parere sul programma statistico nazionale del 20 ottobre 2015;
  • trattamenti di dati personali effettuati per il rilascio dell’identità federata (SPID);
  • trattamenti di dati personali effettuati da società per attività di telemarketing in relazione alle numerose segnalazioni pervenute all’Autorità;
  • trattamenti di dati effettuati da società per attività di rating sul rischio e sulla solvibilità delle imprese.

2. alla verifica sull’adozione delle misure di sicurezza da parte di soggetti, pubblici e privati, che effettuano trattamenti di dati sensibili (come definiti dall’articolo 4 del Codice Privacy);

3. a controlli sulla liceità e correttezza dei trattamenti di dati personali con particolare riferimento al rispetto dell’obbligo di informativa, alla pertinenza e non eccedenza nel trattamento, alla libertà e validità del consenso, nei casi in cui questo è necessario, nonché alla durata della conservazione dei dati nei confronti di soggetti, pubblici o privati, appartenenti a categorie omogenee.

Al momento il Nucleo Speciale Privacy della Guardia di Finanza ha in programma 155 ispezioni, 15 dei quali relativi ai trattamenti indicati alla lettera a), 20 riguardo le sicure di sicurezza di cui alla lettera b) e la restante parte, di 120 controlli, saranno effettuati con riferimento ai soggetti e ai trattamenti indicati alla lettera c).

Ulteriori attività istruttorie di carattere ispettivo potranno essere svolte partendo da segnalazioni, reclami e ricorsi, con particolare riguardo a quelle riguardanti violazioni di maggiore gravità.

Azioni/Implicazioni pratiche

Considerato che le attività di cui alle lettere b) e c) sono quelle che hanno un maggiore impatto sulle aziende, è di fondamentale importanza che ogni Titolare del trattamento sia in grado di dimostrare la sua conformità al Codice Privacy e, a partire dal 25 maggio 2018, al GDPR.

È particolarmente consigliabile, quindi:

  • laddove vengano svolte attività di telemarketing, assicurarsi che venga raccolto un consenso specifico ed informato per le finalità di marketing, prima di cominciare il trattamento, nonché che il destinatario delle suddette attività promozionali non sia iscritto nel Registro delle Opposizioni, come da ultimo previsto nella 5/2018;
  • se vengono trattati dati sensibili, assicurarsi che il trattamento rispetti i requisiti previsti dall’Art.26 del Codice Privacy e che, dopo il 25 maggio 2018, lo stesso si fondi su almeno una delle basi legali indicate nell’art. 9.2 del GDPR;
  • effettuare una mappatura di tutte le attività di trattamento che vengono svolte all’interno della propria organizzazione e delle misure di sicurezza adottate in relazione ad ognuna di esse, al fine di essere in grado di dimostrare un approccio alla protezione dei dati sistematico e proattivo, nonché di rispondere rapidamente ad ogni richiesta dovesse provenire dal Garante.