Con la pubblicazione del nuovo piano di ispezioni relativo al periodo luglio-dicembre 2021, l’Autorità Garante per la protezione dei dati personali indica alcuni punti di continuità rispetto alla precedente attività ispettiva d’iniziativa curata anche avvalendosi del protocollo d’intesa con la Guardia di Finanza. Ovviamente, l’Authority può sempre estendere le attività di accertamento di propria iniziativa a proprio giudizio, procedendo d’ufficio o altrimenti dando seguito a segnalazioni o reclami.
Gli ambiti in cui trova conferma l’indirizzo del precedente semestre riguardano:
- i trattamenti di dati biometrici per il riconoscimento facciale anche mediante sistemi di videosorveglianza, di particolare rilievo soprattutto in considerazione del significativo impatto di tali tecnologie sui diritti e le libertà individuali;
- i trattamenti di dati personali nel settore della c.d. “videosorveglianza domestica” e nel settore dei sistemi audio/video applicati ai giochi (c.d. giocattoli connessi), stante persistenza delle attività di trattamento e la rilevanza per i profili connessi alla sicurezza;
- trattamenti di dati personali effettuati da “data broker” e da società rientranti nel settore del “Food Delivery”, in considerazione del volume dei dati e le attività di trasferimento;
e, ovviamente, gli eventi di data breach per l’accertamento delle eventuali responsabilità dei soggetti coinvolti.
Il focus delle attività di controllo su soggetti pubblici e privati proseguirà invece totalmente sul solco tracciato nel primo semestre, venendo diretto principalmente sulle condizioni di liceità dei trattamenti con particolare riguardo alla validità della base giuridica del consenso, il corretto adempimento degli obblighi di trasparenza e di limitazione della conservazione dei dati personali. Circa le modalità, sarà prestata “specifica attenzione a profili sostanziali del trattamento che spiegano significativi effetti sugli interessati”, confermando il contrasto alla c.d. paper compliance e ai formalismi inefficaci sul piano operativo.
Con riguardo ai nuovi ambiti di accertamento, il provvedimento di delibera individua alcuni trattamenti ad elevato rischio intrinseco per gli interessati, quali:
- i trattamenti di dati personali effettuati per attività di marketing e profilazione;
- le banche dati reputazionali;
- gli Istituti di Ricovero e Cura a Carattere Scientifico (IRCCS);
che si vanno ad aggiungere al piano dei controlli programmato fino a dicembre 2021.
È bene ricordare che l’occasione del piano ispettivo può giovare a organizzazioni, consulenti e DPO come “bussola” per meglio comprendere tanto i rischi relativi a determinati settori ed attività quanto, soprattutto, il metodo e i punti che vanno attenzionati nelle attività di internal audit relative agli adempimenti in materia di protezione dei dati personali.
