Varato il programma dell’attività ispettiva del Garante Privacy

Varato il programma dell’attività ispettiva del Garante Privacy

Previsti almeno cento interventi programmati fino alla fine dell’anno.

Nell’attesa che l’Autorità Garante per la Protezione dei Dati Personali trovi un nuovo collegio direttivo, l’attività istituzionale prosegue e recentemente è stato pubblicato il provvedimento n° 166 del 12 settembre 2019, recante la deliberazione che determina l’attività ispettiva di iniziativa curata dall’Ufficio del Garante, anche per mezzo della Guardia di finanza, limitatamente al periodo luglio-dicembre 2019, che fa seguito a quella dello scorso febbraio, sul periodo gennaio-luglio.

Il programma ispettivo.

Come si legge nel documento, l’autorità di controllo, limitatamente al periodo luglio-dicembre 2019, ha programmato l’attività ispettiva di iniziativa, che può essere effettuata anche per mezzo della Guardia di finanza, definendo due macro-categorie:

  • Gli accertamenti in riferimento a profili di interesse generale per categorie di interessati; e
  • soggetti, pubblici e privati, appartenenti a categorie omogenee sui presupposti di liceità del trattamento e alle condizioni per il consenso.

Quanto al primo punto, i controlli saranno effettuati su:

  1. Trattamenti dei dati personali effettuati mediante applicativi per la gestione delle segnalazioni di condotte illecite (c.d. whistleblowing), aspetto divenuto particolarmente rilevante e significativo anche e non solo nella gestione degli aspetti legati all’antiriciclaggio negli Studi;
  2. Trattamenti di dati personali effettuati da istituti bancari, con particolare riferimento ai flussi verso l’anagrafe dei conti;
  3. Trattamenti dei dati personali effettuati da intermediari per la fatturazione elettronica;
  4. Trattamenti di dati personali effettuati da società per attività di marketing;
  5. Trattamenti di dati personali effettuati da enti pubblici, con riferimento a banche dati di notevoli dimensioni;
  6. Trattamenti di dati personali effettuati da società con particolare riferimento all’attività di profilazione degli interessati che aderiscono a carte di fidelizzazione;
  7. Trattamenti di dati personali effettuati da società rientranti nel settore denominato “food delivery”;
  8. Trattamenti di dati personali in ambito sanitario effettuati da parte di società private.

Per quanto riguarda gli intermediari di cui al punto 3), ricordiamo che per “intermediari” s’intendono coloro i quali, nell’ interazione con il Sistema di Interscambio, inviano o ricevono i file delle fatture elettroniche o i file archivio per conto dell’ Operatore economico e/o dell’ Amministrazione pubblica, in ragione del fatto che gli operatori economici possono avvalersi di intermediari per la trasmissione delle fatture elettroniche al Sistema di interscambio, subordinando l’utilizzo ad un accordo tra le parti e facendo salve le responsabilità del soggetto che effettua la cessione del bene o la prestazione del servizio, secondo quanto definito dall’Agenzia delle Entrate nella risposta all’interpello n° 348/2019. È d’uopo sottolineare che, pertanto, ne discende che gli intermediari agiscono come responsabili del trattamento, ai sensi dell’art. 28 del GDPR.

Per quanto riguarda il secondo punto, la programmazione prevede che siano effettuati controlli nei confronti di soggetti, pubblici e privati, appartenenti a categorie omogenee sui presupposti di liceità del trattamento e alle condizioni per il consenso qualora il trattamento sia basato su tale presupposto, sul rispetto dell’obbligo dell’informativa nonché sulla durata della conservazione dei dati. Ciò, prestando anche specifica attenzione a profili sostanziali del trattamento che spiegano significativi effetti sugli interessati.

Nuovamente, quindi, si torna a sottolineare l’importanza dell’adeguatezza delle informative e dell’acquisizione del consenso che, ricordiamo, non solo è una manifestazione esplicita e volontaria della volontà dell’interessato a procedere al trattamento che lo riguarda, ma è anche una delle sei basi giuridiche alternative che generano il presupposto di liceità del trattamento e, infine, è esso stesso un dato personale che bisogna proteggere e gestire adeguatamente.

Quante ispezioni saranno fatte?

L’attività ispettiva programmata riguarderà, almeno cento accertamenti ispettivi di iniziativa effettuati anche a mezzo della Guardia di Finanza, fermo restando che il Garante potrà svolgere ulteriori attività ispettive e di revisione d’ufficio ovvero in relazione a segnalazioni o reclami proposti.

Il numero, quindi, è indeterminabile in questa sede, poiché molto dipenderà dalle segnalazioni e dai reclami che gli interessati potrebbero inoltrare, in quanto loro diritto sancito dal GDPR.

Risultati delle ispezioni.

Come si legge nel finale del provvedimento, alla fine del semestre sarà stilata una relazione sull’andamento delle attività ispettive e delle attività istruttorie a carattere ispettivo, a qualunque titolo compiute, ai sensi di quanto previsto dall’art. 9, comma 4, lettera e) del Regolamento n. 1/2000 (come modificato dalla deliberazione n. 374 del 25 giugno 2015).

I dati aggregati su base annuale, poi, saranno pubblicati nella relazione sulle attività che sarà presentata, verosimilmente, verso la metà del 2020, come d’abitudine ormai consolidata.

Come comportarsi per affrontare un’ispezione?

Non esiste una formula unica che indichi come superare indenni un controllo da parte del Garante o della Guardia di Finanza.

Il consiglio che si può dare, tuttavia, è quello di avere un atteggiamento trasparente, sincero e collaborativo, mettendo a disposizione tempestivamente i documenti e le evidenze richieste o che, comunque, permettono o possono permettere di dimostrare di aver rispettato il principio di responsabilizzazione definito dall’art. 5, par. 2 del GDPR. Per esempio, sarà importante avere a disposizione i mandati professionali debitamente sottoscritti da tutte le parti, in modo da dimostrare che si sta agendo quali responsabili del trattamento, e presentare i registri delle attività di trattamento compilati, aggiornati e tenuti a norma; se presente, infine, sarà indispensabile coinvolgere il DPO.

Fonte: Fiscal Focus