Home » Risorse » Interviste e Contributi » Garante Privacy, il Piano ispettivo 2022
Interviste e Contributi Risorse

Garante Privacy, il Piano ispettivo 2022

28/04/2022
4 Min Read
garante privacy

Il Garante Privacy ha reso noto il proprio piano ispettivo per il primo semestre 2022, offrendo importanti informazioni rispetto a quali aspetti risultano attualmente di maggior interesse privacy nel nostro Paese. Tali attività ispettive potranno essere delegate al Nucleo Speciale Tutela privacy e frodi informatiche della Guardia di Finanza, riservandosi tuttavia il Garante anche l’eventualità di procedere con attività ispettive d’ufficio. Ovviamente, oltre alle attività programmate, il Garante ed il Nucleo Speciale possono condurre ulteriori attività ispettive a seguito di segnalazioni o di reclami.

L’Autorità ha individuato quelli che sono le principali aree di interesse, che riguardano fondamentalmente due macrocategorie di attività che investono la maggior parte delle imprese e degli enti.

In particolare, l’attività ispettiva è indirizzata:

1- a) ad accertamenti in riferimento a profili di interesse generale per categorie di interessati nell’ambito di:

  • trattamenti di dati personali nei confronti di “fornitori di database”;
  • trattamento di dati personali svolti da piattaforme e siti web in ordine alla corretta gestione dei cookies;
  • trattamento di dati personali nel settore della c.d. “videosorveglianza”;
  • trattamento di dati da parte di siti di incontri, operatori dell’ambito della c.d. data monetization e da parte di produttori e distributori di smart toys;
  • algoritmi e Intelligenza Artificiale in ambito pubblico e privato;

2- b) ad accertamenti nei confronti di soggetti pubblici e privati, al fine di verificare l’osservanza delle disposizioni in materia di protezione dei dati personali, con particolare riferimento alla corretta individuazione dei titolari e dei responsabili del trattamento, anche in relazione all’utilizzo di app e altri applicativi informatici; attenzione particolare sarà riservata all’acquisizione di informazioni e dati personali da parte di app istallate sugli smartphone e alla verifica sul corretto trattamento dei dati da parte di app diverse da Verifica C19.

Ma come comportarsi in caso di ispezione?

Laddove la Guardia di Finanza dovesse bussare alla propria porta, è fondamentale contattare senza indebiti ritardi il proprio DPO (la cui presenza è consigliata dallo stesso Garante) o, laddove non fosse stato nominato, il referente privacy ed eventuali consulenti privacy esterni.

In sede di ispezione viene richiesta la documentazione a dimostrazione del rispetto degli obblighi privacy. Documentazione che, in considerazione dell’art. 24 GDPR, dovrà essere stata adeguatamente aggiornata e revisionata, ove ne fosse sorta la necessità.

Tra i possibili documenti da produrre in corso di verifica della conformità GDPR da parte del Garante, e che potranno variare a seconda del caso di specie, vi sono:

  • Registro dei trattamenti dati personali svolti in qualità di Titolare e, ove applicabile, il Registro dei trattamenti dati personali svolti in qualità di Responsabile, che devono contenere quantomeno le informazioni di cui all’art. 30 GDPR;
  • Informative privacy rilasciate dal Titolare ai vari interessati;
  • Documentazione privacy adottata tale da consentire di individuare ruoli, compiti e responsabilità assegnate in materia, quali a titolo esemplificativo organigramma privacy, autorizzazioni e istruzioni etc.;
  • Procedure implementate per la gestione degli aspetti privacy, quali a titolo esemplificativo quelle in tema di riscontro ad istanze di interessati, gestione di data breach etc.;
  • Nomine/contratti ex art. 28 GDPR, disciplinanti i rapporti con i Responsabili del trattamento, ivi inclusa documentazione attestante le opportune verifiche preliminari di adeguatezza degli stessi;
  • Valutazioni d’impatto sulla protezione dei dati ex art 35 GDPR.

Tenuto conto del principio di accountability del Titolare che permea l’intero GDPR, in caso di ispezioni potrebbe risultare altresì opportuno fornire all’Autorità la documentazione sussistente a supporto delle scelte del Titolare in materia di privacy, quali a titolo esemplificativo documentazione da cui risultino le motivazioni circa l’adozione o meno di determinate misure di sicurezza a presidio dei dati, ovvero le verifiche svolte in tema di trasferimento dei dati personali a seguito della sentenza Schrems II.

Avv. Giulia Rizza

Consultant e PM Colin & Partners

 

Articolo fornito da COLIN – Consulente Legale Informatico

 

Commenta

Clicca qui per inserire un commento

Iscriviti

per ricevere aggiornamenti sui trend e le opportunità IOT per il tuo business

Podcast & Smartspeaker

IOTtoday su Spotify IOTtoday su Google Podcast IOTtoday su Apple Podcast IOTtoday su Amazon Alexa IOTtoday su Google Home
Scopri come