Pubblicato il piano ispettivo dell’Autorità di Controllo per la protezione dei dati personali, valido sino a fine anno 2020. L’Autorità, periodicamente, stabilisce le priorità di controllo rispetto alle risorse disponibili per poter effettuare l’attività ispettiva di iniziativa. L’impegno si concretizza in interventi in loco da parte dell’Ufficio – o delegando la Guardia di Finanza – nei luoghi dove si effettuano i trattamenti di dati; dove occorre effettuare rilevazioni comunque utili al medesimo controllo; nei confronti di soggetti non necessariamente individuati sulla base di reclami o segnalazioni (che sono l’altra “origine” dei controlli).

Analizziamo dunque gli ambiti indicati dall’Autorità. Innanzi tutto, dobbiamo premettere che l’attività ispettiva di iniziativa è suddivisa in: “controlli nei confronti di soggetti, pubblici e privati, appartenenti a categorie omogenee sui presupposti di liceità del trattamento e alle condizioni per il consenso qualora il trattamento sia basato su tale presupposto, sul rispetto dell’obbligo dell’informativa nonché sulla durata della conservazione dei dati” e “accertamenti in riferimento a profili di interesse generale per categorie di interessati”.

Gli accertamenti riguarderanno innanzi tutto il cosiddetto whistleblowing ovvero quei trattamenti di dati personali effettuati mediante l’uso di applicativi per la gestione delle segnalazioni di condotte illecite (si pensi al tema 231). Su questo tema era già intervenuta l’Autorità Garante perché si pone la necessità di porre particolare attenzione alle garanzie a favore degli interessati che, rilasciando informazioni funzionali a eventuali indagini su illeciti, possono dare esposizione del proprio rapporto lavorativo. Ciò ricade sugli strumenti di trattamento, dei quali occorre dimostrare l’analisi del rischio e le misure conseguenziali, ma anche sul processo organizzativo del flusso dei dati stessi e sulla loro conservazione. Sotto verifica anche la presenza di idonea informazione preventiva verso l’interessato che carica i dati di riferimento.

Destinatari degli accertamenti anche i trattamenti dei dati personali effettuati da intermediari per la fatturazione elettronica. In questo caso si tratterà di effettuare controlli funzionali alla verifica – in particolare – di tematiche connesse alla protezione, in considerazione delle importanti masse dati.

Si rinnova poi l’attenzione, prestata anche nel primo semestre 2020 con provvedimenti ad hoc, verso quelle realtà che gestiscono e registrano le telefonate nell’ambito della prestazione di servizi di call center. Le sempre frequenti segnalazioni al Garante, non fanno che evidenziare come questo ambito non sia sufficientemente gestito in conformità, in particolare laddove sussistano esternalizzazioni “selvagge” che non tengono in considerazione le prescrizioni del GDPR.

Possiamo sicuramente affermare, anche in considerazione degli esiti dei controlli come emersi dalle comunicazioni dell’Autorità, che appaiono piuttosto scarni gli accordi contrattuali e, soprattutto, raramente presenti audit adeguati da parte dei Titolari. Ciò non fa che aumentare il livello di attenzione da parte dell’Autorità.

Inoltre, condizionati dalla pandemia e dal lockdown, sotto la lente anche il settore del Food Delivery in considerazione dei dati dei consumatori sempre più oggetto di raccolta e di potenziale profilazione, oltre che massivamente trattati, che rendono necessaria una tutela effettiva.

Infine, gli accertamenti riguarderanno anche gli enti pubblici (con particolare riferimento ai sistemi di rilascio di certificati anagrafici e di stato civile, attraverso l’accesso ad ANPR) ed il tema, più generico, del data breach.

Su quest’ultimo possiamo osservare come, negli ultimi mesi, il ricorso allo smart working abbia provocato un aumento importante degli attacchi favoriti da utenti evidentemente meno vigili nella gestione della sicurezza una volta fuori dall’ambiente lavorativo.

Dunque, si profilano interventi trasversali che avranno impatto su quelle realtà che operano una gestione massiva di dati. Si tratta spesso di organizzazioni in ambito B2C, senza tralasciare questioni prettamente aziendali come il breach o il whistleblowing.

Ricordiamo che, rispetto all’obbligo di adottare e recepire il GDPR secondo un principio di accountability, tutte le scelte operate dai Titolari devono essere storicizzate e ne deve essere data evidenza durante eventuali controlli.