LET’S TALK & CONNECT

La pubblicazione del nuovo piano ispettivo del Garante per la protezione dei dati personali, relativo al primo semestre del 2025 offre alle organizzazioni un quadro ben preciso di quelle che saranno le attività che verranno condotte nei prossimi mesi, ponendosi da un lato in continuità con le ispezioni del semestre precedente e approfondendo al contempo nuovi ambiti di interesse. Nello specifico, il piano di ispezioni deliberato lo scorso 19 dicembre proseguirà gli accertamenti nei settori già avviati, in primis sui sistemi di trattamento dei dati nelle banche e negli istituti di credito, seguiti dalle società che gestiscono sistemi di video-allarme e dagli istituti scolastici “in ordine al trattamento dei dati svolto attraverso i registri elettronici”.

L’obiettivo dell’Autorità non sposterà il mirino nemmeno dal tema del telemarketing, con specifico riferimento al trattamento dei dati effettuato dai gestori di call center e servizi di e-mail marketing che – come hanno rilevato numerosi accertamenti – sono spesso divenuti destinatari di sanzioni per aver utilizzato “in modo illegittimo indirizzari e banche dati”.

Il prossimo semestre registrerà, inoltre, “la conclusione del ciclo di ispezioni sui gestori dell’identità digitale (SPID) e sulla filiera dei soggetti di cui essi si avvalgono per il rilascio di servizi fiduciari (SPID e firma digitale)”.

Oltre a questi ambiti di ispezione “noti” vediamo quali novità vengono introdotte nel nuovo piano di accertamenti.

I controlli ispettivi dei prossimi sei mesi affronteranno, infatti, aree di intervento sinora inesplorate quali il settore della statistica “in ordine a specifici progetti, inseriti nel PSN, comportanti utilizzo di big data e dati sintetici”. Rispetto alla definizione di questi ultimi, ossia dei dati sintetici, con molta probabilità il Garante offrirà maggiori chiarimenti, non essendo di fatto qualificabili come dati personali.

Tra i campi di indagine di nuova entratura anche “l’utilizzo di dati biometrici per l’ammissione agli esami della patente di guida presso gli uffici della Motorizzazione civile”.

Volendo trovare un comune denominatore ai var settori oggetto delle ispezioni del Garante vi è senza dubbio l’attenzione posta ai trattamenti su larga scala ai quali – coinvolgendo un significativo numero di interessati – è associabile un fattore di rischio elevato soprattutto laddove la qualità dei dati, la loro acquisizione e – non ultimo – il loro utilizzo non siano stati condotti in maniera conforme.

Quello delle banche dati a ben vedere è un tema molto sentito dall’Autorità e lo stesso viene approcciato secondo tre prospettive differenti:

• Sicurezza e accessibilità: in particolare gli accertamenti si focalizzano sui “data breach che hanno interessato negli ultimi mesi banche dati pubbliche di particolare rilievo e delicatezza”. 
• Prevenzione e gestione delle violazioni: il settore di indagine in tal caso interessa – nell’ambito delle banche dati degli istituti di credito – l’analisi delle misure adottate per rilevare rapidamente e prevenire violazioni di dati personali.
• Utilizzo illegittimo: in quest’ultimo caso il focus è l’uso non autorizzato di indirizzari e banche dati, con particolare riferimento al trattamento di dati effettuato da imprese operanti nel settore dei call center e dei servizi di e-mail marketing.

L’impatto pratico del piano ispettivo sulle imprese

Le organizzazioni sono chiamate nei prossimi mesi ad affrontare il tema della protezione dei dati con particolare impegno, rafforzando le procedure di protezione e tenendo alta la guardia sulle misure di sicurezza che devono essere costantemente monitorate e aggiornate. L’accountability deve quindi trovare una traduzione sul piano pratico, piuttosto che restare un principio teorico e non applicato alla quotidiana pratica di business. Il primo alleato a disposizione di enti ed aziende che diventa parte integrante ed imprescindibile per una corretta gestione dei dati resta il Data Protection Impact Assessment, da considerare non solo un obbligo normativo, ma soprattutto il miglior strumento a disposizione per dimostrare la privacy by design e l’attenzione posta dal titolare al tema della data protection. In sede di eventuale controllo è fondamentale essere in grado di dimostrare il percorso di conformità svolto e di comprovare gli adempimenti realizzati, le scelte attuate e le misure tecniche ed organizzative adottate.

Il percorso di conformità rappresenta un processo continuo che non si limita a rispondere alle disposizioni solo in fase di implementazione: il titolare deve infatti tener conto di eventuali evoluzioni del contesto sia interno all’organizzazione che rispetto alla normativa o alla tecnologia in uso. Le valutazioni devono quindi essere monitorate con costanza e revisionate, nell’ottica di mantenere elevato il livello di controllo sulle attività di trattamento effettuate. In questo processo di conformità va da sé che anche la formazione giochi un ruolo fondamentale e sia uno degli aspetti più vagliati in sede di controllo: garantire percorsi di formazione adeguati – e costantemente aggiornati – alla popolazione aziendale favorisce la consapevolezza che la sicurezza non sia un mero “obbligo”, bensì un elemento chiave per garantire la protezione del patrimonio informativo aziendale e goda pertanto di una priorità strategica.