di Antonio Serriello

Nel 2016, il bilancio dell’attività ispettiva del Garante Privacy ha rivelato un incremento di circa il 38% dei procedimenti avviati (che sono saliti a 2.339), gran parte dei quali aventi ad oggetto violazioni di dati personali (c.d. data breach) e, in particolare, la mancata adozione delle misure minime di sicurezza previste dalla normativa sulla Privacy.

Il totale delle sanzioni riscosse dall’erario è stato pari a 3 milioni e 300 mila euro.

Per quanto riguarda il settore privato, l’attività di verifica si è principalmente concentrata nei confronti di società che si occupano di web marketing e marketing telefonico, ricerca genetica, assistenza tecnica e recupero dati, car sharing e giochi online, senza dimenticare finanziarie e agenzie di lavoro interinale. Nel settore pubblico, invece, le ispezioni hanno colpito i Caf e le grande banche dati pubbliche, con l’obiettivo di verificare il rispetto della normativa in materia di misure di sicurezza e internal audit.

Per completezza riportiamo la Newsletter n. 425 del 28 febbraio 2017 del Garante Privacy, mentre nella sezione successiva di quest’articolo presenteremo i settori che nel 2017 saranno interessati dalle ispezioni del Garante.

Il piano ispettivo del Garante Privacy per il 2017: i settori interessati

Per il 2017 il Garante per la protezione dei dati personali ha previsto nuovi ambiti di intervento. In particolare, le ispezioni si concentreranno sul trattamento dati effettuato da:

  • Call Center, a causa delle innumerevoli segnalazioni effettuate all’Autorità;
  • Società di telemarketing, soprattutto quelle situate in Albania;
  • Spid, il sistema pubblico per la gestione dell’identità digitale dei cittadini;
  • Sistema Statistico Nazionale (ISTAT);
  • Patronati, in relazione ai quali verrà verificato il rispetto delle misure organizzative e di sicurezza per la trasmissione della dichiarazione dei redditi precompilata;
  • Consolati italiani all’estero, tra quelli che rilasciano il maggior numero di visti e si avvalgono di soggetti esterni per la conduzione di tale attività (il controllo sarà effettuato in collaborazione con il Ministero degli affari esteri).

Questo significa che dovranno prestare particolare attenzione al lavoro svolto anche i commercialisti  e i consulenti del settore, in quanto coinvolti nel perfezionamento degli obblighi previsti dalla legge in materia di tutela dei dati personali.

I controlli verranno effettuati con la collaborazione del Nucleo speciale Privacy della Guardia di Finanza, con il quale il Garante ha stipulato una convenzione (rinnovata da un recente Protocollo di intesa) e riguarderanno anche i procedimenti avviati in seguito a segnalazione, reclamo o ricorso dei cittadini. Il Codice in materia di trattamento dei dati personali prevede, infatti, che per lo svolgimento delle sue funzioni, il Garante per la protezione dei dati personali possa avvalersi, ove necessario, anche della collaborazione di altri organi dello Stato

L’oggetto dell’attività ispettiva: il rispetto della normativa Privacy

Per evitare pesanti sanzioni, i soggetti interessati dovranno dimostrare:

  • il rispetto degli obblighi di informativa e consenso informato;
  • l’adozione delle misure minime di sicurezza a protezione dei dati sensibili e giudiziari (tale obbligo sussiste sia per i soggetti pubblici che privati);
  • la liceità e correttezza del trattamento dei dati personali con riferimento al rispetto dell’obbligo di informativa e consenso, alla pertinenza e non eccedenza del trattamento e al rispetto del principio di necessità del trattamento (il quale impone di stabilire la durata del trattamento in funzione della sua finalità).

Conclusioni: un aumento dei controlli da parte del Garante

Il quadro ispettivo delineato dal 2016 non può che rivelare il seguente bilancio: un aumento significativo dei controlli da parte dell’Autorità, con conseguenti contromisure sanzionatorie anche molto elevate, sia nei confronti delle aziende che delle PA (sono state circa 200 le violazioni riscontrate).

La maggior parte delle sanzioni hanno riguardato la mancata adozione delle misure di sicurezza nonché tempi eccessivi di conservazione dei dati, soprattutto quelli di traffico telefonico e telematico. A ciò si aggiungono i procedimenti avviati per omessa notificazione al Garante del trattamento di dati sensibili e il mancato adempimento delle richieste di informazioni e documentazione.

Il piano ispettivo del Garante Privacy per 2017 rileva la necessità, da parte delle aziende e delle PA, di formare il proprio personale in materia di tutela della Privacy, in modo da conoscere le conseguenza del trattamento illecito di dati personali e adempiere agli obblighi di legge in modo corretto e tempestivo. Per chiarimenti, approfondimenti o verificare sin da subito il rispetto della normativa a tutela dei dati personali da parte della tua azienda, scarica il Decalogo Privacy oppure contatta gli esperti Unolegal.

Ti interesserà leggere anche

Non perdere le novità

Non perdere le ultime novità dal mondo della Privacy e GDPR

Cliccando su ISCRIVITI esprimi il tuo consenso a ricevere comunicazioni e aggiornamenti su PrivacyRevolution da parte di Sistemi H.S. S.p.A., Titolare del trattamento.

Condividi su twitter
Condividi su linkedin
Condividi su email

Informativa al trattamento dei dati ex art. 13 Regolamento UE 2016/679

La informiamo che, ai sensi del Regolamento UE 2016/679 (infra: “Regolamento”), i Suoi Dati Personali saranno trattati da Sistemi HS S.p.A. con sede Via Torino 176 10093 Collegno (TO), in qualità di titolare del trattamento (“Titolare”).
Il Responsabile della Protezione dei Dati (“DPO”) è raggiungibile ai seguenti indirizzi: dpo@sistemihs.it  – sistemihsdpo@cert.unonet.it
Il Titolare tratterà i Suoi dati personali per la finalità di gestione delle comunicazioni e delle newsletter relative alla community PrivacyRevolution.
La base giuridica del trattamento è riferita all’espressione del consenso da parte dell’interessato al trattamento dei propri dati personali (art. 6(1)(a) del Regolamento).
Il conferimento dei Suoi Dati Personali per la finalità di cui sopra è facoltativo; non è prevista alcuna conseguenza in caso di un Suo rifiuto. In mancanza dei dati però, non sarà possibile per il Titolare inviarle alcuna comunicazione.
L’interessato ha la possibilità di revocare il consenso prestato e di opporsi a tale trattamento in ogni momento in maniera agevole e gratuita, anche scrivendo al Servizio Privacy presso il Titolare all’indirizzo: compliance@sistemiuno.it
I Suoi dati personali potranno essere condivisi con persone fisiche autorizzate dalla Titolare al trattamento di dati personali previa sottoscrizione di un accordo di riservatezza (es. dipendenti e amministratori di sistema); soggetti terzi coinvolti nella gestione delle attività legate alla predetta finalità, alcuni dei quali agiscono in qualità di responsabili del trattamento (l’elenco completo ed aggiornato è disponibile e consultabile previa richiesta a compliance@sistemiuno.it); soggetti, enti o autorità a cui sia obbligatorio comunicare i suoi dati personali in forza di disposizioni di legge o di ordini delle autorità.
Il Titolare non trasferisce i Suoi Dati Personali al di fuori dello Spazio Economico Europeo.
I suoi Dati Personali saranno conservati fino alla revoca del consenso prestato. È fatto salvo in ogni caso l’ulteriore conservazione prevista dalla normativa applicabile tra cui quella prevista dall’art. 2946 cod. civ. Maggiori informazioni sono disponibili presso il Titolare
Lei ha diritto di chiedere al Titolare, in qualunque momento, l’accesso ai Suoi Dati, la rettifica o la cancellazione degli stessi o di richiedere la limitazione del trattamento, o di ottenere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati che La riguardano nei casi previsti dall’art. 20 del Regolamento.
È possibile formulare una richiesta di opposizione al trattamento dei Suoi dati ex articolo 21 del GDPR nella quale dare evidenza delle ragioni che giustifichino l’opposizione: il Titolare si riserva di valutare l’istanza, che non verrebbe accettata in caso di esistenza di motivi legittimi cogenti per procedere al trattamento che prevalgano sui tuoi interessi, diritti e libertà.
In qualsiasi momento potrà revocare ex art. 7 del Regolamento, il consenso già prestato, senza che ciò pregiudichi la liceità del trattamento effettuato anteriormente alla revoca del consenso.
Le richieste vanno rivolte per iscritto al Titolare o al DPO ai recapiti sopra indicati. In ogni caso Lei ha sempre diritto di proporre reclamo all’autorità di controllo competente (Garante per la Protezione dei Dati Personali), ai sensi dell’art. 77 del Regolamento, qualora ritenga che il trattamento dei Suoi dati sia contrario alla normativa in vigore.

Unisciti a Privacy Revolution!

Iscrivendoti a Privacy Revolution riceverai gratuitamente aggiornamenti sulle ultime novità in campo Privacy, GDPR e Compliance, inviti a webinar ed eventi speciali!

Cliccando su ISCRIVITI esprimi il tuo consenso a ricevere comunicazioni e aggiornamenti su PrivacyRevolution da parte di Sistemi H.S. S.p.A., Titolare del trattamento.