• 17/07/2024

Il nuovo piano ispettivo del Garante per la protezione dei dati personali

 Il nuovo piano ispettivo del Garante per la protezione dei dati personali

Il nuovo piano ispettivo del Garante per la protezione dei dati personali:  quali sono le aree da attenzionare per le imprese e professionisti?

Di Mauro Alovisio[1] e Paola Zanellati[2] soci del Centro Studi di informatica Giuridica di Ivrea Torino (http://www.csigivreatorino.it/)

La sopravvivenza delle nostre aziende su un mercato sempre più globale e competitivo è fondato sulla credibilità e sulla fiducia dei clienti e fornitori, anche in materia di sicurezza dei trattamenti.

I consumatori vogliono, infatti, potersi fidare delle organizzazioni che gestiscono i loro dati e l’adozione di policy consente a un’azienda di cogliere nuove opportunità.

Il regolamento privacy europeo 679 del 2016 costituisce una pietra angolare del sistema e richiede un percorso complesso di adeguamento, nell’ottica di miglioramento continuo, che non può limitarsi alla mera produzione di documenti, ma deve pervadere i processi aziendali già nel momento della progettazione dei servizi, applicazioni, prodotti, interscambio e interconnessione di dati con altre organizzazioni.

Il Garante per la protezione dei dati personali ha definito, attraverso la deliberazione del 21 luglio 2022, recentemente pubblicata sul sito web www.garanteprivacy.it, il programma delle ispezioni di ufficio pianificate nel secondo semestre 2022 e ha individuato molteplici specifiche aree di intervento.  La sopra citata delibera è stata adottata, nell’ottica di trasparenza e di comunicazione istituzionale.

La delibera in oggetto è di interesse per le nostre imprese in quanto richiama l’attenzione sulle aree di maggiore attenzione dell’Autorità Garante. L’attività ispettiva, svolge, infatti, anche una funzione di prevenzione e di contrasto delle violazioni.

Secondo la relazione annuale del Garante al parlamento del 2005 l’attività ispettiva è finalizzata da un lato ad evitare, nell’interesse delle imprese virtuose, le rendite parassitarie di imprese che non investono nella protezione dei dati e creano situazioni di concorrenza sleale e dall’altro lato a verificare il grado di conformità delle nostre imprese alla normativa.

Il Garante definisce, attraverso il piano, le priorità in relazione alle risorse disponibili e individua principi e criteri dell’attività ispettiva.

L’attività ispettiva di iniziativa del Garante ricomprende l’accertamento in loco curato dal personale dell’Ufficio o delegato alla Guardia di finanza nei luoghi dove si effettuano i trattamenti di dati, o nei quali occorre effettuare rilevazioni comunque utili al medesimo controllo, nei confronti di soggetti non necessariamente individuati sulla base di reclami o segnalazioni.

Il Piano ispezioni in esame richiama infatti in materia il protocollo di intesa del 30 marzo 2021 siglato dal Guardia di Finanza e dal Garante per la Protezione dei dati personali che consolida le sinergie operative sviluppate tra le due istituzioni e rafforza il controllo operativo e diffuso nelle imprese  sui nostri territori.

La sopra citata delibera di programmazione illustra gli ambiti del controllo e gli obiettivi numerici da conseguire.

Il Garante illustra che le attività di ispezioni saranno indirizzate agli accertamenti in riferimento a profili di interesse generale per categorie di interessati nell’ambito di molteplici trattamenti.

Le ispezioni riguarderanno sia il settore privato che il settore pubblico.

L’attività di ispezione del Garante sarà focalizzata su accertamenti in riferimento a profili di interesse generale per categorie di interessati nell’ambito di:

  • verifiche relative alla corretta applicazione delle indicazioni di cui alle Linee guida in materia di cookies e di altri strumenti di tracciamento
  • trasferimento di dati all’estero sulla base degli analytics di Google, in relazione a quanto disposto con il provvedimento del 9 giugno 2022

L’attenzione del Garante si concentrerà sui trattamenti di dati personali effettuati da parte di gestori di identità digitale e da parte di fornitori e imprese nell’ambito di app. e servizi on-line offerti dalle P.A..

Il piano ispezione individua come tema di attenzione altri accertamenti nei confronti di soggetti pubblici e privati, completamento delle attività ispettive già iniziate nel corso del primo semestre dell’anno con particolare riguardo all’acquisizione di informazioni relativi ai trattamenti connessi all’utilizzo di tecnologie e metodologie di analisi dei dati basate sull’utilizzo della cd. intelligenza artificiale.

Gli algoritmi e l’intelligenza artificiale costituiscono tecnologie sempre più usate per sviluppare servizi innovativi in molteplici settori della società: dal marketing, alla gestione delle risorse umane, dal contrasto all’evasione fiscale e alla prevenzione delle frodi informatiche ma possono anche comportare gravi rischi di discriminazione sociale per le persone.

 Le attività ispettive del Garante si concentreranno:

  • sui trattamenti di dati connessi all’utilizzo di app installate sugli smartphone
  • sui trattamenti di dati connessi all’utilizzo di strumenti di verifica della cd certificazione verde (green pass)
  • sui trattamenti di dati connessi all’attività svolta dai cd siti di incontro

Il documento in esame sottolinea che l’Ufficio potrà svolgere ulteriori attività ispettive e di revisione d’ufficio ovvero in relazione a segnalazioni o reclami proposti.

Violazioni ma su come l’organizzazione dimostri di essere accountability nelle proprie attività quotidiane.

I poteri del Garante in amito ispettivo sono disciplinati dal regolamento n. 1/2019 della stessa Autorità concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali.

Il sopracitato regolamento prevede che “Nel corso dell’attività ispettiva, della quale può essere dato preavviso, è possibile, in particolare:

  1. controllare, estrarre ed acquisire copia dei documenti, anche in formato elettronico;
  2. richiedere informazioni e spiegazioni;
  3. accedere alle banche dati ed agli archivi;
  4.  acquisire copia delle banche dati e degli archivi su supporto informatico”.

Il sopracitato regolamento specifica che durante l’attività ispettiva il soggetto sottoposto ad ispezione può farsi assistere da consulenti di propria fiducia e fare riserva di produrre la documentazione non immediatamente reperibile entro un termine congruo, di regola non superiore a trenta giorni; in casi eccezionali, può essere richiesto un differimento di tale termine. Occorre pertanto che le impresi si organizzino per gestire le ispezioni al fine di evitare errori, incomprensioni che potrebbero danneggiare l’organizzazione stessa.

Chi è coinvolto nelle ispezioni?

A rispondere alle domande dei funzionari del Garante e della Guardia di Finanza durante le ispezioni sarà il datore di lavoro che è formalmente obbligato a nominare gli “incaricati autorizzati” privacy in azienda, a formarli e a verificare che le operazioni svolte sui dati siano conformi alle normative europee del GDPR. Il datore di lavoro può avvalersi, durante l’accertamento ispettivo del DPO (se nominato in azienda), di altri delegato interni (responsabile Ict, responsabile del personale, responsabile staff legale) e di consulenti ed esperti. Il suggerimento per le imprese è definire con una breve policy scritta sulle ispezioni come avvertire la catena di comando? chi è deputato a rispondere alle domande? chi verbalizza?  chi informa i dipendenti della presenza del Garante e della Guardia di Finanza? chi trasmette la documentazione richiesta all’azienda, chi invia le memorie difensive?)

Cosa viene approfondito durante un’ispezione?

Durante le ispezioni sono richiesti sovente chiarimenti sull’ applicazione del regolamento (ad es. quali sistemi informatici di sicurezza vengono usati per la protezione dei dati conservati, applicazione di policy aziendali) e come vengono rispettati i principi fondamentali del GDPR (art.5):

  • liceità, correttezza e trasparenza
  • limitazione dello scopo della raccolta
  • minimizzazione dei dati
  • esattezza
  • integrità e riservatezza dei dati raccolti
  • limitazione temporale della conservazione dei dati

Oggetto di approfondimento sono, pertanto, di solito i sistemi informatici e la loro gestione da parte dei responsabili. Vengono valutate le modalità di acquisizione dei dati, il loro trasferimento nei server dell’azienda o del provider, gli accorgimenti attivati per la loro protezione (ad es., chi ha accesso ai dati in azienda e per quali scopi, e quali limitazioni sono previste a loro tutela).

In ultimo, il Garante verifica che tutti i documenti siano periodicamente aggiornati e che i dipendenti e collaboratori siano formati secondo le più recenti applicazioni delle norme europee.

Il Regolamento europeo in materia di protezione dei dati personali n. 679/2016 focalizza l’attenzione sull’obbligo di formazione del personale coinvolto nel trattamento dei dati personali. La normativa vigente impone in maniera esplicita, di fornire un’adeguata preparazione per tutti i dipendenti, a seconda del preciso ruolo da questi ricoperto. Durante l’ispezione sarà richiesto dalla GdF di fornire prova attraverso attestati e registri di aver svolto corsi di formazione e di aver adempiuto a tale obbligo. Sotto questo aspetto i Fondi Interprofessionali possono aiutare le aziende ad adempiere all’obbligo formativo mettendo a disposizione risorse economiche.

Si tratta propriamente di una condicio sine qua non per l’accesso ai dati di tutti coloro che prestano attività lavorativa all’interno dell’Ente o dell’Azienda di riferimento.

Le recenti sanzioni comminate dall’Autorità Garante privacy a istituti bancari, imprese dimostrano come sia costante, complessa e dinamica l’attività di controllo del relativo Dipartimento attività ispettive del Garante per la protezione dei dati personali che costituisce un punto di riferimento e una risorsa anche a livello europeo nella delicata materia della tutela dei dati.

Il provvedimento in esame conferma la centralità della collaborazione con la Guardia di Finanza alla luce del nuovo protocollo d’intesa che prevede dal punto di vista strategico, che il Garante potrà avvalersi di personale specializzato del Corpo anche per la conduzione di ispezioni congiunte con altre autorità estere e un aumento delle risorse in considerazione delle complesse sfide anche tecnologiche che attendono l’Autorità.

Il piano di ispezioni è di interesse in quanto dimostra lo sforzo e l’importanza del ruolo dell’Autorità Garante, la cui visione in ambito ispettivo non sarà solo concentrata sulle violazioni ma su come l’organizzazione dimostri di essere accountability nelle proprie attività quotidiane.

[1] Mauro Alovisio, avvocato presso Università degli Studi di Torino, professore del Master in alto apprendistato in materia di cybersecurity dell’Università degli Studi di Torino, Presidente del Centro Studi di Informatica Giuridica di Ivrea Torino, http://www.csigivreatorino.it/ autore di pubblicazioni in materia di GDPR, controllo sui lavoratori, videosorveglianza.

Il presente contributo ha carattere personale e non impegnativa per l’ente di appartenenza in quanto le considerazioni sono frutto esclusivo del pensiero dell’autore.

[2] Paola Zanellati, esperta di compliance sui temi privacy e protezione dei dati con venticinque anni di esperienza maturata nei settori HR e Payroll. Laureata in Scienze Economiche Gestione delle Risorse Umane. Certificazione TUV – Privacy Officer. Responsabile della Protezione dei Dati (DPO) presso aziende private del settore alberghiero e sanitario. Docente in ambito privacy e protezione dei dati personali.  Blogger per Agenda Digitale (https://www.cybersecurity360.it/giornalista/paola-zanellati/)

Il presente contributo ha carattere personale e non impegnativa per l’ente di appartenenza in quanto le considerazioni sono frutto esclusivo del pensiero dell’autore.

ADV

La ricerca di personale a portata di clic

Bakeca.it, tra i 100 siti più visitati in Italia, è la soluzione ideale per trovare nuovi collaboratori.
Ogni giorno migliaia di persone navigano tra gli annunci presenti nella sezione Offerte di Lavoro, garantendo contatti e curricula alle imprese che stanno facendo attività di recruiting.
Una serie di servizi per le aziende completano l’esperienza di ricerca, fornendo preziosi dati e insight.

Leggi anche