Con la deliberazione 22 dicembre 2022, l’Autorità Garante per la protezione dei dati personali ha varato il piano ispettivo relativo al primo semestre 2022, andando così a determinare gli ambiti di maggiore interesse generale su cui concentrare l’attività di vigilanza e gli accertamenti d’iniziativa da svolgere anche per mezzo del Nucleo Speciale Privacy della Guardia di finanza.
Quanto emerge pertanto è un quadro in parziale discontinuità rispetto al precedente piano ispettivo, per gli accertamenti relativi alle attività di trattamenti di dati personali svolte nei nuovi ambiti così individuati:
- piattaforme e siti web, in ordine alla corretta gestione dei cookies;
- siti di incontri;
mentre viene confermato e maggiormente definito l’ambito già definito nel tracciato dell’ultimo semestre, con riferimento alle attività di trattamento di dati personali che riguardano:
- attività svolte da “fornitori di database”;
- gli operatori della data monetization;
- i produttori e distributori di smart toys;
- il settore della videosorveglianza.
Volendo estrarre un denominatore comune, emerge l’esigenza di tutelare interessati che per la propria posizione nei confronti del titolare si trovano in una posizione di particolare vulnerabilità, da doversi intendere come quel fattore caratteristico riferito allo squilibrio di potere nei confronti della posizione del titolare del trattamento. Esistono infatti dei contesti – come quelli evidenziati all’interno del piano ispettivo – in cui sussiste un rischio che gli interessati non possano essere in grado di esercitare in modo efficace i propri diritti, o altrimenti prestare il proprio consenso o altrimenti opporsi in maniera consapevole alle attività svolte sui propri dati personali.
Per quanto riguarda il focus degli accertamenti, invece, l’attenzione delle verifiche relative agli adempimenti normativi sarà concentrata sulla corretta individuazione di titolari e responsabili del trattamento “anche in relazione all’utilizzo di app e altri applicativi informatici”, potendosi presumere dunque che siano verificate anche le garanzie relative a responsabili qualora assumano il ruolo di amministratore di sistema. Viene inoltre preannunciata una “attenzione particolare” alle modalità di acquisizione delle informazioni e dei dati personali da parte delle app installate su smartphone, e dunque la necessità di dimostrare di aver svolto controlli dell’applicazione sin dalla fase progettazione, e in ogni fase del trattamento, affinché la stessa attui efficacemente i principi del GDPR (c.d. privacy by design) e, soprattutto, raccolga per impostazione predefinita solo i dati personali necessari per ogni specifica finalità del trattamento (c.d. privacy by default). Ulteriore punto di attenzione – per esplicita menzione – sarà anche la verifica del corretto trattamento dei dati da parte di app “diverse da VerificaC19”.
