Le attività ispettive del Garante Privacy: pubblicato il piano ispettivo dell’Autorità per il primo semestre del 2022.

Il Garante per la protezione dei dati personali, con Deliberazione del 22 dicembre 2021, ha fissato gli indirizzi per l’attività ispettiva di iniziativa curata dall’Autorità, anche per mezzo della Guardia di Finanza, in relazione al periodo gennaio-giugno 2022.

Nel provvedimento vengono individuati i focus su cui l’Autorità intende esercitare i propri poteri di indagine, così come disciplinati dall’art. 58 del Regolamento (UE) 2016/679 (“GDPR”) e dagli artt. 157 e 158 del D.Lgs. 30 giugno 2003, n. 196 (Codice Privacy), nel primo semestre dell’anno.

*****

Analizzando il contenuto del provvedimento, emerge in maniera chiara come il Garante abbia deciso di prestare una particolare attenzione a tematiche di grande attualità, dedicandosi ad aspetti relativi a trattamenti di dati connessi all’attuale situazione pandemica (come nel caso delle corrette modalità di verifica dei Green Pass), in parte muovendosi sulla scorta di alcune recenti iniziative  in merito a peculiari modalità di trattamento (ad es. videosorveglianza o le corrette modalità di gestione dei cookies).

In particolare, l’attività di ispezione sarà incentrata su:

  • trattamenti di dati personali effettuati da “fornitori di database”;
  • trattamenti di dati personali svolti da piattaforme e siti web, con particolare riferimento alla corretta gestione dei cookies;
  • trattamento di dati personali nel settore della c.d. “videosorveglianza”;
  • trattamento di dati da parte di siti di incontri; operatori dell’ambito della c.d. data monetization e da parte di produttori e distributori di smart toys;
  • utilizzo di algoritmi e intelligenza artificiale in ambito pubblico e privato.

L’attività ispettiva, inoltre, sarà indirizzata ad accertamenti nei confronti di soggetti pubblici e privati, al fine di verificare l’osservanza delle disposizioni in materia di protezione dei dati personali, con particolare riferimento alla corretta individuazione dei titolari e dei responsabili del trattamento, anche in relazione all’utilizzo di app e altri applicativi informatici tra cui, in particolare,  i trattamenti di dati personali da parte di app installate sugli smartphone e altri device finalizzate alla verifica dei green pass.

Come accennato, ciascuno degli ambiti di analisi individuati dall’Autorità è già stata oggetto, negli scorsi mesi, di specifici provvedimenti e iniziative che, di seguito, vengono richiamate e schematizzate.

  • Trattamenti di dati personali nei confronti di “fornitori di database

Come noto, il Garante è intervenuto numerose volte (anche di recente) per sanzionare violazioni della normativa perpetrate a mezzo di pratiche di telemarketing aggressivo. Come noto, nella maggior parte dei casi, le attività istruttorie condotte hanno fatto emergere la responsabilità – a diverso titolo – di più soggetti coinvolti nel trattamento: dalla mancanza di controlli da parte dei titolari sulla liceità della provenienza delle liste e degli elenchi di indirizzi e contatti, fino alla carenza o invalidità di base giuridica con cui tali dati erano stati acquisiti dai responsabili (in alcuni casi anche dai subresponsabili). 

Per questo motivo, in virtù del principio di accountability, è molto importante che ciascun titolare del trattamento, che decida di ricorrere a fornitori di database per le proprie iniziative di comunicazione e pubblicitarie, compia accurate verifiche in ordine alla provenienza dei dati e alla presenza di una valida base giuridica per poter procedere al trattamento.

  • Trattamento di dati personali svolti da piattaforme e siti web in ordine alla corretta gestione dei cookies

Lo scorso 6 gennaio è scaduto il termine per tutti i titolari del trattamento per conformarsi alle prescrizioni indicate dall’Autorità nelle Linee guida sui cookie e altri strumenti di tracciamento. Per un dettaglio relativo alle corrette modalità di acquisizione del consenso, così come alle informazioni che il titolare del trattamento deve fornire agli interessati, si rimanda all’articolo di Marilara Coppola dello scorso 12 luglio. Le Linee guida, inoltre, forniscono indicazioni per una corretta programmazione del banner cookie, tanto con riferimento alla struttura (così da evitare fenomeni come i “dark patterns”) quanto in relazione al contenuto.

  • Trattamento di dati personali nel settore della c.d. “videosorveglianza”

Per quanto concerne il trattamento di dati personali effettuati a mezzo di impianti di videosorveglianza, l’Autorità ha recentemente condotto alcune campagne informative, incentrate sul rispetto dei principi di sicurezza, trasparenza e minimizzazione del trattamento. Sul punto, i riferimenti normativi e di indirizzo più recenti sono le Linee guida 3/2019 sul trattamento di dati personali attraverso dispositivi video adottate il 29 gennaio 2020 dall’European Data Protection Board (EDPB).

Inoltre, il Garante ha pubblicato le FAQ in tema di videosorveglianza e protezione dei dati personali, che forniscono risposte in relazione a:

  • Alle corrette modalità di installazione e configurazione dei sistemi di videosorveglianza;
  • Alle modalità con cui informare gli interessati e alle informazioni da fornire loro;
  • al rispetto del principio di minimizzazione, con specifico riferimento alla limitazione del campo di ripresa;
  • ai tempi di conservazione delle immagini registrate.

  • Titolari e responsabili del trattamento in relazione all’utilizzo di app e acquisizione delle informazioni da parte di app installate sugli smartphone

In riferimento a questo specifico segmento oggetto di attività ispettive, si deve in primo luogo evidenziare come sia sempre necessario prestare particolare attenzione alla corretta configurazione dei rapporti tra i soggetti del trattamento, in special modo laddove tale trattamento sia effettuato a mezzo di app e altri applicativi. Ciò naturalmente deve trovare la sua forma all’interno degli atti nomina a responsabile e negli accordi sul trattamento dei dati personali, ove devono essere specificati con chiarezza ruoli e responsabilità. 

Al fine di individuare correttamente i titolari e i responsabili del trattamento, anche in relazione all’utilizzo di app, si deve fare riferimento ai principi enucleati dall’EDPB nella versione 2.0 delle Linee guida 07/2020 sui concetti di titolare del trattamento e di responsabile del trattamento ai sensi del GDPR, adottate il 7 luglio 2021.

Per quanto concerne l’acquisizione di informazioni e dati personali da parte di app installate sugli smartphone, si segnala che l’Autorità, il 29 settembre 2021, ha avviato un’istruttoria, in collaborazione con la Guardia di Finanza, che prevede l’esame di una serie di app c.d. “rubadati”.

Nell’ambito del trattamento di dati personali da parte di app che forniscono servizi legati al tracciamento dei contatti nel contesto dell’emergenza pandemica da Covid-19, si devono ricordare le Linee Guida 4/2020 sull’uso dei dati di localizzazione e degli strumenti per il tracciamento dei contatti nel contesto dell’emergenza legata al Covid-19, adottate dall’EDPB il 21 aprile 2020.

Gli specifici aspetti sopra menzionati costituiscono i principali aspetti su cui si focalizzeranno le attività ispettive dell’Autorità, tuttavia, si sottolinea che il Garante, indipendentemente dal piano ispettivo fissato, potrà in ogni caso svolgere ulteriori attività istruttorie di carattere ispettivo sia d’ufficio sia in relazione a segnalazioni o reclami proposti.

Andrea Pisano & Alessandro Perotti

Author elex

More posts by elex