Il piano ispettivo dell’autorità garante per la protezione dei dati personali: sanità, SPID e telemarketing sotto i riflettori

 

Background

Il 12 ottobre 2017 il Garante per la protezione dei dati personali ha pubblicato, nella sua newsletter, il piano ispettivo per il secondo semestre 2017. Il piano elenca i principali ambiti nei quali saranno realizzate le ispezioni, svolte anche in collaborazione con il Nucleo speciale privacy della Guardia di finanza, in ottica dell’applicazione del nuovo regolamento generale sulla protezione dei dati dell’UE.

 

Contesto giuridico e principali questioni

Le aree più rilevanti in cui il Garante concentrerà l’attività di ispezione nei prossimi mesi sono:

  • Sistema Pubblico per la gestione dell’Identità Digitale di cittadini e imprese (“SPID”);
  • Consolati italiani all’estero tra quelli che rilasciano il maggior numero di visti e si avvalgono di soggetti esterni per la conduzione di tale attività;
  • aziende e società multinazionali operanti nel settore farmaceutico e sanitario;
  • Istituto Nazionale di Statistica (ISTAT) e altre organizzazioni pubbliche o private che producono statistiche;
  • telemarketing;
  • attività di recupero crediti;
  • società che organizzano concorsi a premi;
  • società di ricerca e selezione del personale.

 

Più in generale, le attività del Garante verificheranno il rispetto dei principi generali della protezione dei dati ed in particolare:

  • adozione delle misure minime di sicurezza da parte di soggetti, pubblici e privati, che effettuano trattamenti di dati sensibili;
  • liceità e correttezza dei trattamenti di dati personali;
  • rispetto dell’obbligo di informativa;
  • pertinenza e non eccedenza nel trattamento;
  • libertà e validità del consenso;
  • durata della conservazione dei dati.

 

Implicazioni pratiche

Nel primo semestre del 2017, le attività ispettive effettuate dal Garante nel settore privato e pubblico hanno fruttato circa 1.700.000€ di sanzioni.

Considerando tale dato, le aziende dovranno intensificare il proprio lavoro al fine di allineare il loro quadro di conformità alle disposizioni del regolamento generale sulla protezione dei dati.

Le aziende le cui attività rientrano nei settori elencanti dovranno infatti prestare molta attenzione essendo adesso sotto la lente del Garante. L’attività di trattamento dati dovrebbe essere effettuata su una solida base di conformità giuridica tale da poter essere dimostrata, in qualsiasi momento, su richiesta dell’Autorità o degli interessati.