L’Autorità Garante per la protezione dei dati personali ha recentemente pubblicato il piano di ispezione per il secondo semestre del 2020. Il piano individua alcune categorie che saranno particolarmente colpite dalle attività di controllo svolte dall’Autorità, come è il caso delle piattaforme di wistleblowing e il settore di food delivery.

Di Isadora Migliavacca


L’Autorità garante per la protezione dei dati personali periodicamente pubblica informazioni relative al piano di ispezione contenenti le aree di attività che riceveranno una particolare attenzione di detta Autorità nei mesi successivi. Infatti, nella recente Newsletter pubblicata sono state divulgate le aree interessate dalle attività di ispezione che saranno svolte fino a dicembre 2020.

Il Garante ha individuato sette profili di interesse generale per gli accertamenti, che riguardano il settore pubblico e privato, sui quali l’attività sarà concentrata:

  • trattamenti dei dati personali effettuati nell’ambito del whistleblowing;
  • trattamenti dei dati personali effettuati da intermediari per la fatturazione elettronica;
  • trattamenti di dati personali effettuati da Enti pubblici in tema di rilascio di certificati anagrafici e di stato civile;
  • trattamenti di dati personali effettuati nell’ambito dello svolgimento di attività di marketing, da società private ed Enti pubblici, in particolare per la gestione e la registrazione delle telefonate nell’ambito del servizio di call center;
  • trattamenti di dati personali effettuati da società rientranti nel settore denominato “Food Delivery”;
  • trattamento di dati personali effettuati da società private in tema di banche reputazionali;
  • violazioni di dati personali (c.d. data breach)

Inoltre, l’Autorità garante ha anche individuato altri profili sui quali concentrare le sue attività di controllo, che saranno svolte nei confronti di soggetti pubblici e privati e che riguarderanno:

  • l’adozione delle misure di sicurezza da parte di soggetti che trattano particolari categorie di dati personali;
  • il rispetto delle norme sull’informativa e il consenso; 
  • il periodo di conservazione dei dati.

L’Autorità segnala che l’attività ispettiva verrà svolta anche a seguito di segnalazioni e reclami, con particolare attenzione alle violazioni più gravi. 

Non sorprende che siano state individuate le aree di interesse presentate, visto che riguardano tematiche che spesso sono state affrontate dal Garante negli ultimi mesi, come è il caso delle attività svolte nell’ambito del whistleblowing. Importante anche riconoscere la sensibilità dell’Autorità per quanto riguarda l’inclusione, nel piano, dei trattamenti di dati personali effettuati da società rientranti nel settore di food delivery, visto che il tema – spinto anche dall’aumento negli ultimi mesi (a causa della pandemia e del periodo di lockdown in Italia) della richiesta di tali servizi – è molto attuale e dovrà essere affrontato con grande serietà dalla parte delle istituzioni. 

Il bilancio del primo semestre del 2020

Un altro argomento importante e presente nel comunicato stampa dell’Autorità garante è il breve bilancio concernente gli accertamenti svolti e le sanzioni irrogate nel primo semestre 2020.

Le attività ispettive e sanzionatorie svolte nel primo semestre del corrente anno hanno comportato un aumento del 481% nelle entrate relative alle sanzioni irrogate. Nello stesso periodo di riferimento dell’anno precedente, invece, il Garante ha irrogato sanzioni per un valore di 1 milione e 223 mila euro, mentre, nel primo semestre del 2020, il valore ha visto un significativo incremento, arrivando a un totale complessivo di 7 milioni e 108 mila euro. In più, sono state effettuate iscrizioni a ruolo per un importo complessivo di 5 milioni e 42 mila euro a fronte dei 2 milioni 248 mila euro del primo semestre 2019, che hanno riguardato trasgressori che non si sono avvalsi della facoltà di definizione agevolata, prevista dal decreto legislativo n.101 del 2018, il quale ha adeguato il Codice Privacy al Regolamento UE 2016/679 in materia di protezione dei dati personali, e che consente la riduzione al pagamento della metà del valore della sanzione, se effettuato entro 30 giorni.

Tale indicazione appare estremamente utile per tutti gli attori coinvolti nel trattamento dei dati e soggetti all’applicazione del Regolamento UE 2016/679 che hanno ben chiari i settori in cui si concentreranno i controlli dell’Autorità nei prossimi mesi. Risulta evidente come l’Autorità stia concentrando i propri sforzi nel garantire la corretta applicazione del Regolamento europeo in materia di protezione dei dati personali da parte sia dei soggetti pubblici sia di quelli privati.

Nel recente resoconto delle attività svolte dal Garante nel 2019, si può notare che durante l’anno in questione, il Garante italiano è risultato l’Autorità europea che ha irrogato più sanzioni; nonostante ciò, i procedimenti sanzionatori amministrativi avviati riguardavano fatti accaduti anteriormente al 25 maggio 2018, per cui la normativa applicabile era ancora il Codice Privacy. Tale fattore ha imposto che le sanzioni irrogate, in base alle regole stabilite dal Codice Privacy, fossero ancora di un valore più basso rispetto a quelli previsti dal Regolamento UE 2016/679 e che il valore totale complessivo delle sanzioni non risultasse molto alto in comparazione ad altre Autorità. Situazione che, sicuramente, non si è ripetuta per l’anno 2020.

Si può concludere, quindi, che l’attenzione dell’Autorità su temi importanti non è calata negli ultimi mesi a causa di fattori esterni e che, probabilmente, d’ora in poi le sanzioni irrogate saranno più salate per i titolari e responsabili del trattamento, visto che il Garante si sta poco a poco adeguando a quanto disposto dal Regolamento UE 2016/679 in materia di sanzioni amministrative.


Immagine di Markus Winkler su Unsplash

Author Isadora Migliavacca

More posts by Isadora Migliavacca