Il 26 luglio 2018 il Garante per la Protezione dei Dati Personali ha pubblicato la deliberazione che identifica i principali ambiti dell’attività ispettiva che verrà effettuata, anche in collaborazione con la Guardia di Finanza, nel secondo semestre 2018. Si tratta del primo piano ispettivo pubblicato dopo la piena applicazione del Regolamento UE 679/2018 (di seguito, “GDPR”).

Nel mirino dell’attività ispettiva ci saranno per il prossimo semestre: i grandi database, gli istituti di credito e attività di telemarketing.

Contesto giuridico e principali questioni

Le attività ispettive si concentreranno, in particolar modo, su:

  • trattamenti effettuati da aziende e pubbliche amministrazioni che gestiscono database di grandi dimensioni;
  • le misure di protezione dei dati adottate negli istituti di credito (con speciale riferimento alla segnalazione dei data breach);
  • i trattamenti di dati personali per attività di telemarketing.

I controlli verteranno:

  • sul rispetto degli obblighi di informativa;
  • sui presupposti di liceità del trattamento e sul rispetto delle condizioni per il consenso (quando i trattamenti si fondano su tale presupposto di liceità), sulla durata di conservazione dei dati;
  • sulle misure di sicurezza per la loro protezione;

e terranno conto, in particolar modo, del rispetto degli obblighi in materia di:

  • tenuta del registro dei trattamenti (articolo 30 GDPR);
  • valutazione d’impatto (art. 35 GDPR);
  • designazione del Responsabile della protezione dei dati (articolo 37 GDPR).

Chiaramente l’attività ispettiva riguarderà anche le istruttorie avviate sulla base di segnalazioni o reclami presentati dai cittadini, con particolare attenzione alle violazioni più gravi.

Bilancio sull’attività ispettiva svolta nel primo semestre del 2018: confronto con il 2017

Nel primo semestre del 2018, si conta un incremento delle sanzioni riscosse dall’Erario per somme oltre i 4.500.000 euro (oltre il 162% in più del primo semestre 2017) in massima parte erogate verso i gestori telefonici, con un aumento anche delle sanzioni contestate (oltre il 118% in più rispetto al primo semestre del 2017).

Rimane, invece, stabile il numero delle azioni penali: 19, la maggior parte delle quali legate al mancato rispetto dei provvedimenti del Garante, alla mancata adozione delle misure di sicurezza e alle violazioni connesse al controllo a distanza dei lavoratori.

Implicazioni pratiche

Le aziende e pubbliche amministrazioni che trattano dati personali (in particolar modo quelle che gestiscono grandi database, gli istituti di credito e quelle che effettuano attività di marketing) devono assicurarsi, in particolare, che:

  • vengano fornite ai soggetti interessati informative redatte ai sensi dell’art. 13 del GDPR;
  • i trattamenti posti in essere si fondino su uno dei presupposti di liceità previsti dal GDPR (artt. 6 e 9 GDPR) e che, quando i trattamenti si fondano sul consenso, vengano rispettate le condizioni per il consenso di cui all’art. 7 del GDPR;
  • siano identificati e applicati idonei periodi di conservazione dei dati personali;
  • vengano adottate misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al GDPR (art. 25 GDPR);
  • sia stato redatto un registro dei trattamenti (fatti salvi i casi di cui a paragrafo 5 dell’art. 30 GDPR);
  • prima di effettuare trattamenti che possono presentare un rischio elevato per i diritti e le libertà delle persone fisiche, siano effettuate le necessarie valutazioni di impatto di cui all’art. 35 GDPR;
  • sia stato designato un Responsabile della protezione dei dati nei casi di designazione obbligatoria previsti dal primo paragrafo dell’art. 37 GDPR.