Attività ispettiva del Garante della Privacy: il punto della situazione

Il 23 giugno 2020 è stata pubblicata dal Garante Privacy la relazione annuale sull’attività svolta dall’Autorità nel corso del 2019.

In primo luogo la relazione sottolinea come sono stati molto incisivi gli interventi del Garante contro il telemarketing con l’applicazione di pesanti sanzioni (una di 27,8 milioni di euro e un’altra di 11,5 milioni di euro) ad operatori che hanno utilizzato i dati degli abbonati senza il loro consenso. Per le imprese a vocazione digitale ed ecommerce occorrerà stare sempre più attenti perché privacy e diritti del consumatore sono strettamente connessi. A conferma di ciò si segnala anche che l’Autorità ha fornito riscontro a oltre 8.000 reclami e segnalazioni riguardanti, oltre che il marketing telefonico, anche: la sanità, il credito al consumo, la sicurezza informatica, il settore bancario e finanziario, il lavoro (anche sotto il profilo del ruolo del medico competente).

Sul fronte cybersecurity e sulla scarsa attenzione alle misure di sicurezza da parte delle imprese (soprattutto con piattaforme on line), l’Autorità ha proseguito l’attività di vigilanza e intervento, anche a seguito di casi di particolare gravità. È senz’altro significativo il dato relativo alle notifiche di data breach (1443), ma è ancor più importante conoscere l’oggetto delle violazioni perché sono gli aspetti a cui le imprese devono prestare maggiore attenzione. Le tipologie di violazione dei dati personali più frequenti hanno riguardato:

• attacchi informatici volti all’acquisizione di dati personali (quali credenziali di accesso, dati relativi a strumenti di pagamento, dati di contatto);
• accesso non autorizzato a caselle di posta elettronica (ordinaria e certificata);
• perdita o indisponibilità di dati personali causata da malware di tipo ransomware;
• smarrimento o furto di dispositivi digitali o documenti cartacei contenenti dati personali;
• comunicazione o diffusione accidentale di dati personali;
• osservazione delle prescrizioni in materia di videosorveglianza.

Di particolare interesse sono i dati riferiti alle ispezioni e le informazioni estremamente utili per ogni imprenditore sulle modalità con cui queste si svolgono. Gli accertamenti, svolti anche con il contributo del Nucleo speciale tutela privacy e frodi tecnologiche della Guardia di finanza, hanno riguardato numerosi settori, sia nell’ambito pubblico che privato. Per quanto riguarda il settore privato le ispezioni si sono rivolte principalmente ai trattamenti effettuati da società di intermediazione finanziaria; da istituti bancari (con particolare riferimento ai flussi di dati verso l’anagrafe dei conti correnti); da società che svolgono attività di marketing e fidelizzazione (anche con riferimento alla profilazione dei clienti).

In cosa consiste una ispezione privacy? Il Garante Privacy osserva gli elementi necessari alla valutazione del rischio derivante dalle violazioni oggetto di notifica, sia attraverso acquisizione documentale, sia attraverso specifiche attività ispettive presso i titolari o i responsabili del trattamento.

Infine vale la pena indicare quali sono stati i settori imprenditoriali verso i quali maggiormente si sono svolte le ispezioni effettuate dall’Autorità:

• grandi gruppi alberghieri, in relazione al trattamento di dati personali della clientela;
• soggetti esercenti l’attività di call center, con riferimento al trattamento dei dati personali delle persone contattate;
• gruppi societari, per la verifica delle modalità di trattamento dei dati personali in relazione al rilascio di carte di fidelizzazione, delle modalità dell’eventuale profilazione della clientela, anche a fini di marketing, nonché della sussistenza dei relativi presupposti giuridici;
• società di intermediazione immobiliare di rilevanza nazionale;
• tour operator di rilevanti dimensioni;
• circoli sportivi.

Le categorie sono molteplici, ma è facile indicare un fattore comune: la connessione tra privacy e diritti dei consumatori.

(Fonte: pmi.it)