Con il provvedimento n. 339 del 3 agosto 2023 l’Autorità Garante privacy ha deliberato il piano ispettivo per il secondo semestre 2023 (luglio-dicembre 2023).
In particolare, il piano ispettivo del secondo semestre si focalizzerà sul settore energetico, sui trattamenti in ambito statistico e scientifico (con un focus sulla pseudonimizzazione) e su quelli relativi ai dati biometrici (anche) nel contesto lavorativo.
L’ attività di accertamento verrà svolta in collaborazione con il Nucleo speciale tutela privacy e frodi tecnologiche della Guardia di finanza e riguarderà almeno 35 accertamenti ispettivi.
Ricordiamo che il piano ispettivo del Garante per la protezione dei dati personali, emanato ogni semestre, offre interessanti spunti di riflessione e fornisce un quadro dettagliato delle priorità dell’autorità per l’anno in corso, indicando chiaramente quali settori saranno sottoposti a un esame più approfondito.
Gli ambiti di controllo
Dopo aver indagato sulle pratiche di telemarketing nel primo semestre, il Garante ha deciso di estendere l’indagine anche al settore energetico.
L’attenzione è particolarmente centrata su come le compagnie energetiche raccolgono e utilizzano i dati personali dei clienti, spesso attraverso pratiche di telemarketing aggressive o poco trasparenti.
Questo focus è significativo, dato che il settore energetico è uno dei più grandi detentori di dati, che vanno dai dettagli del consumo energetico domestico a informazioni di pagamento.
La conformità in questo settore è quindi cruciale per la protezione dei dati personali dei consumatori.
Un’altra area di crescente interesse è quella dei trattamenti statistici e scientifici, in particolare quando si tratta di pseudonimizzazione, una tecnica utilizzata per proteggere l’identità delle persone coinvolte nei trattamenti.
La pseudonimizzazione è un processo che rende molto più difficile risalire all’individuo a cui si riferiscono i dati, senza però renderli completamente anonimi.
Il Garante intende garantire che questa tecnica sia effettuata seguendo gli standard più elevati, in modo da proteggere la privacy degli individui, ma anche per facilitare ricerche scientifiche e statistiche responsabili.
Ultimo, il piano ispettivo prenderà in considerazione l’uso dei dati biometrici nell’ambito del rapporto di lavoro: che si tratti di riconoscimento facciale per l’accesso ai locali aziendali o di impronte digitali per l’utilizzo di determinati strumenti, il trattamento di dati biometrici solleva questioni complesse riguardanti il consenso, la sicurezza e i diritti dei lavoratori.
Le ispezioni in questo settore mirano a garantire che l’uso dei dati biometrici rispetti le leggi sulla privacy e i diritti dei dipendenti, e che le aziende prendano tutte le misure necessarie per proteggere questi dati.
Interessante notare che, a differenza dell’anno precedente, il piano per il 2023 non prevede ispezioni sui trasferimenti di dati fuori dall’Unione Europea.
Questo è particolarmente rilevante, dato che il 10 luglio 2023, la Commissione Europea ha introdotto il Data Privacy Framework. Questa decisione di adeguatezza sostiene che gli Stati Uniti offrono un livello di protezione dei dati conforme agli standard europei, permettendo così il trasferimento di dati personali a specifiche organizzazioni che vi aderiranno.
Va anche sottolineato che l’European Data Protection Board nell’esprimere parere favorevole, ha evidenziato l’opportunità dell’inserimento di una clausola di riesame almeno ogni quattro anni.
Piano ispettivo del Garante privacy: implicazioni per le aziende
Il Rapporto annuale del Garante per il 2022 e i dati disponibili per il 2023, mostrano che l’attività ispettiva dell’autorità non è solo un esercizio accademico o di sensibilizzazione, ma ha implicazioni finanziarie concrete per le aziende e altre organizzazioni che non rispettano le normative sulla protezione dei dati.
Nel 2022, le sanzioni pecuniarie ammontavano a circa 9,5 milioni di euro mentre, fino al 31 agosto 2023, sono già state emesse sanzioni per oltre 13 milioni di euro.
Il dato parrebbe evidenziare un netto aumento nella severità e nella frequenza delle sanzioni, un segno che il Garante sta intensificando i suoi sforzi per far rispettare la legge.
E tuttavia sarebbe sbagliato considerare tali dati in assenza di contesto. Infatti, l’ammontare delle sanzioni dipende da una serie di fattori che il Garante tiene sempre in debita considerazione e tra i quali rientrano, per esempio, il carattere doloso o colposo della violazione, la recidiva e l’ammontare del fatturato annuo. Mentre le cifre possono sembrare considerevoli, il loro peso reale è proporzionato affinché le stesse abbiano natura dissuasiva.
Anche la PA rientra nel piano ispettivo del Garante
Non solo le aziende private sono state soggette a sanzioni. Anche enti come ASL, Comuni e l’Associazione Nazionale Magistrati sono stati colpiti. Ad esempio, l’Associazione Nazionale Magistrati è stata sanzionata a gennaio per 5.000 euro, dimostrando che nessun settore è al di fuori della portata del Garante.
Si auspica che il processo di sensibilizzazione portato avanti dal Garante, in uno a quello ispettivo e sanzionatorio, dia presto i suoi frutti; soltanto così i dati personali potranno dirsi davvero protetti.