Ecco i settori nel mirino dei controlli del Garante privacy nei prossimi mesi

L’autorità Garante per la protezione dei dati personali ha varato il piano ispettivo per il primo semestre 2016

 

Il Garante per la privacy, con una news ufficiale, comunica che è stato varato il piano ispettivo per i primi 6 mesi del 2016 che prevede nuovi ambiti di intervento, fermo restando che potranno essere svolte ulteriori attività in ordine a segnalazioni e reclami.

Alcuni dei settori/attività interessate dalle attività di accertamento saranno nei prossimi mesi:

  • attività di verifica sulle misure di sicurezza adottate dai soggetti che hanno subito violazioni alle loro banche dati (“data breach”);
  • attività dei Caf legata alla trasmissione on line del 730 precompilato,
  • agenzie per la ricerca di personale;
  • società di recupero crediti;

In particolare, è stato deliberato che:
“1. limitatamente al periodo gennaio-giugno 2016, l’attività ispettiva di iniziativa curata dall’Ufficio del Garante, anche per mezzo della Guardia di finanza, è indirizzata:
a) ad accertamenti in riferimento a profili di interesse generale per categorie di interessati nell’ambito:
dei trattamenti effettuati dai centri di assistenza fiscale (CAF), per la verifica del rispetto delle misure organizzative e di sicurezza adottate nell’ambito della trasmissione della dichiarazione dei redditi precompilata;
della verifica sull’implementazione delle misure previste nel provvedimento generale relativo alla “tracciabilità delle operazioni bancarie”;
dei trattamenti effettuati da organismi sanitari in relazione all’istituzione del dossier sanitario;
dei trattamenti effettuati da società di carattere multinazionale che trasferiscono i dati, nell’ambito di flussi intra-gruppo, nei paesi non appartenenti all’Unione europea, avvalendosi delle garanzie contenute nelle BCR;
b) alla verifica della corretta adozione delle misure minime di sicurezza da parte di soggetti, pubblici e privati, che effettuano trattamenti di dati sensibili;
c) a controlli sulla liceità e correttezza dei trattamenti di dati personali con particolare riferimento al rispetto dell’obbligo di informativa, alla pertinenza e non eccedenza nel trattamento, alla libertà e validità del consenso, nei casi in cui questo è necessario, nonché alla durata della conservazione dei dati nei confronti di soggetti, pubblici o privati, appartenenti a categorie omogenee. Ciò, prestando anche specifica attenzione a profili sostanziali del trattamento che spiegano significativi effetti sulle persone da esso interessate;
d) ad altre verifiche di iniziativa concernenti, in particolare, l’adempimento dell’obbligo di notificazione nei confronti di soggetti, pubblici e privati, individuati mediante raffronto con il registro generale dei trattamenti, in relazione agli specifici profili in materia di biometria;”

Ma quali sono state finora le violazioni più frequenti contestate?

La risposta arriva dall’attività ispettiva 2015 che ha segnato circa il 200% di sanzioni rispetto all’anno precedente e ben 33 segnalazioni all’autorità giudiziaria.
Gli accertamenti per quanto riguarda il settore privato si sono rivolte principalmente:
– ai trattamenti di dati effettuati da software house che forniscono servizi di supporto all’attività della polizia giudiziaria e alla magistratura;
alla geolocalizzazione dei dipendenti;
al marketing telefonico svolto dai call center, anche operanti all’estero;
– agli istituti bancari;
– alla conservazione dei dati tlc e Internet;
al trasferimento di dati verso Paesi extra Ue;
– alle strutture alberghiere e ai centri fitness;
– alle centrali rischi.

Per quanto riguarda il settore pubblico l’attività di verifica si è concentrata particolarmente sul sistema della fiscalità, con speciale riguardo alle misure di sicurezza e al sistema degli audit, e sulla sanità elettronica, dal fascicolo sanitario elettronico al dossier sanitario alle prenotazioni di prestazioni on line.

Quali sono state le criticità rilevate?

– insufficiente informazione agli utenti sull’uso dei dati personali;
– mancata adozione delle misure di sicurezza;
– tempi eccessivi di conservazione dei dati di traffico telefonico e telematico.
– omessa notificazione al Garante con riferimento a trattamenti di particolare delicatezza
– non risposta alle richieste di informazione e documentazione del Garante.

Per quanto riguarda, invece, le violazioni penali, le segnalazioni inviate alla magistratura hanno riguardato soprattutto casi di mancata adozione delle misure minime di sicurezza e violazioni connesse al controllo a distanza dei lavoratori.