Piano ispettivo del Garante per il secondo semestre 2020

9 Novembre 2020

Il 1° ottobre 2020 il Garante per la protezione dei dati personali ha deliberato il piano ispettivo per il secondo semestre dell’anno e, in linea con quanto effettuato durante i primi sei mesi, i controlli riguarderanno settori in cui vengono processati dati in modo massivo.

Oltre a verifiche in ambito generale di soggetti pubblici e privati sulle misure tecniche e organizzative applicate quali liceità di trattamento, consenso o particolari categorie di dati, nel mirino finiranno anche la violazione di dati (Data Breach) e i tempi di conservazione (Data Retention).

Data Breach

Di questo punto si è parlato ampiamente in altri nostri articoli e, nonostante l’Italia sia ancora in rincorsa rispetto ad altri Stati europei sulla segnalazione di eventi negativi, gli ultimi report ci indicano che la tendenza è in crescita.

I Titolari sembrano aver capito l’importanza del tema, passando dalle 630 notifiche del 2018 alle circa 3000 attuali. Ancora ben lontani dagli Stati più virtuosi che viaggiano sulle 15 mila segnalazioni medie, ma la direzione è quella giusta.

Data Retention

Ricordiamo che con data retention il GDPR richiede la previsione di una “data di scadenza” che fissi il limite entro il quale cancellare o distruggere gli archivi giunti al termine delle finalità di trattamento. Se in alcuni casi è la legge a venirci in aiuto fornendo delle tempistiche chiare legate a obblighi fiscali o altro, quando si parla di marketing o più in generale attività commerciali, viene lasciata al data controller la discrezione di decidere la linea di confine.

Dall’esperienza vissuta nell’attività quotidiana di consulenza questo aspetto risulta purtroppo ancora fumoso per la maggior parte dei titolari, che fanno fatica a stabilire un criterio uniforme per gestire i database e adducono le motivazioni più varie per giustificare le lacune, si va dal “preferisco tenere tutto” al “abbiamo sempre fatto così” fino al “non lo so, non ci ho mai pensato”.

Risposte chiaramente in contrasto col principio di accountability previsto dall’articolo 5.2 del Regolamento e parametro che fa la differenza in caso di controlli da parte delle Autorità, che ricordo, ha già visto comminare sanzioni per eccesso di conservazione.

Operatori fatturazione elettronica e Food delivery – La vera novità delle ispezioni

Una novità riguarda invece le categorie oggetto di ispezione che alla lista di tour operator, call center e banche, vedono aggiungersi gli operatori coinvolti nella fatturazione elettronica. Introdotta all’inizio del 2019 dall’Agenzia delle Entrate, ha prodotto nell’arco dell’anno 2 miliardi di documenti fiscali destinati all’archiviazione, con la naturale comparsa di una moltitudine di intermediari che si occupano di scambio e/o conservazione sostitutiva, interagendo con mittenti e destinatari.

Ruolo critico per questi “postini virtuali”, da nominare come Responsabili del trattamento (Data Processor), che potenzialmente potrebbero avere accesso ai documenti che transitano sulle loro piattaforme e che ha già aperto un dibattito tra Garante e Agenzia delle Entrate sulla privacy by design e by default messa a punto in fase iniziale.

Ulteriore categoria sotto osservazione è quella del food delivery (Foodora, Glovo, Just Eat solo per citarne alcuni) che grazie all’emergenza Covid ha avuto un’espansione improvvisa nel 2020. Spesso si tratta di aziende extra europee che raccolgono e archiviano i dati dei clienti su server distribuiti in giro per il mondo… da porre attenzione per un eventuale trasferimento di dati fuori dall’Unione Europea, perché, se molte di queste società si dichiarano Titolari autonomi del trattamento, per altre si configura la qualifica di Responsabile che comporta tutte le attenzioni del caso, cancellazione dei dati compresa.

In sintesi, il Garante vigila supportato dal Nucleo Speciale della Guardia di Finanza per le attività di ispezione e controllo, e anche chi non ritiene di essere tra i destinatari delle sue attenzioni non dorma sonni troppo tranquilli. I report, al momento della stesura del presente articolo, piazzano l’Italia al terzo posto in classifica europea sia per la quantità di sanzioni comminate che per l’ammontare complessivo.

Mai abbassare la guardia.

About Stefano Carlesso

La predisposizione di Stefano ad entrare subito in empatia con il cliente fa di lui un consulente senior di primo livello. Ha alle spalle una formazione specifica legata al Regolamento Europeo Privacy e alla Protezione dei Dati. Gestisce su territorio nazionale circa 100 clienti, molti dei quali legati al settore sanitario/farmaceutico e alla scuola. Il suo obiettivo è quello di proporre al cliente la migliore soluzione possibile, trasmettendo sempre professionalità e sicurezza.