E' stato approvato dal Garante per la Protezione dei Dati Personali il piano ispettivo per il secondo semestre 2020.
L'attività di accertamento dell’Autorità di Controllo, svolta in collaborazione con il Nucleo speciale Tutela Privacy e Frodi Tecnologiche della Guardia di Finanza, prosegue anche nel secondo semestre con particolare attenzione al fenomeno del whistleblowing (vedi il paragrafo successivo) ed in merito ai trattamenti di dati svolti nell’ambito di settori particolarmente delicati come la fatturazione elettronica, il food delivery, il marketing non autorizzato e le violazioni della sicurezza dei dati (Data Breach).
Le nuove ispezioni programmate dal Garante saranno indirizzate a verificare il rispetto delle norme sulla Privacy nell’attività di marketing svolta sia nel settore pubblico che privato, l'adozione delle misure di sicurezza da parte delle imprese che trattano particolari categorie di dati personali, la corretta redazione di informative, consensi e tempi di conservazione dei dati.
Il whistleblowing
Whistleblowing è il termine utilizzato quando una persona comunica alle Autorità o a superiori gerarchici informazioni su attività illecite di cui è venuto a conoscenza.
Questo comportamento, tradotto letteralmente dall'inglese "fischio soffiando", viene definito appunto come “fare una soffiata”, “fare rivelazioni”, “denunciare in via informale. La persona che compie la segnalazione spesso è strettamente collegata all’organizzazione; solitamente si tratta di un dipendente, ma sono molteplici anche i casi in cui sono i clienti o i fornitori ad esserlo. Queste persone diventano degli informatori quando assistono a condotte o azioni che ritengono illecite, abusive, non in linea con il Codice di Condotta della società o anche solo "ingiuste" e segnalano tale sospetto in via informale (spesso anche in forma anonima). Il whistleblowing può avvenire all’interno di un’organizzazione o pubblicamente, rivelandosi nel primo caso una sorta di strumento preventivo per ridurre il rischio di abusi ed irregolarità e quindi aumentare indirettamente l'efficienza dell'impresa stessa, mentre nel secondo caso, spesso il suo scopo è quello di minare la reputazione dell'azienda con azioni volte al danneggiamento ed al processo mediatico (tramite social network).
Tuttavia, il fenomeno del whistleblowing sta lentamente prendendo piede in molti stati europei trovando anche i primi riscontri normativi a tutela degli informatori che stanno iniziando ad essere considerati da meri "piantagrane" a vere e proprie "risorse" degne di protezione legale.
Le sanzioni del primo semestre 2020
Nella Newsletter del 26/10/2020 il Garante evidenzia che “I controlli si concentreranno anche sull’adozione delle misure di sicurezza da parte di Pubbliche Amministrazioni e di imprese che trattano particolari categorie di dati personali, sul rispetto delle norme sull'informativa e il consenso, sui tempi di conservazione dei dati. L’attività ispettiva verrà svolta anche a seguito di segnalazioni e reclami, con particolare attenzione alle violazioni più gravi”.
Intanto, da un primo bilancio del semestre appena trascorso, l’attività ispettiva e sanzionatoria dell’Autorità registra un notevole incremento delle entrate complessive derivanti dalle sanzioni che passano da 1 milione 223mila euro del primo semestre del 2019 a 7 milioni 108 mila euro, con un aumento del 481%.
Risulta inoltre che siano state intentate cause per un importo complessivo di 5 milioni 42mila euro (+124%) a fronte dei 2 milioni 248mila euro del primo semestre 2019, che hanno riguardato trasgressori che non si sono avvalsi della facoltà di definizione agevolata prevista dal decreto legislativo n. 101 del 2018.
Il suddetto provvedimento, inoltre, specifica che l’attività programmata riguarderà n. 30 accertamenti ispettivi di iniziativa, effettuati anche a mezzo della Guardia di Finanza, e che l’Ufficio potrà svolgere ulteriori attività ispettive e di revisione anche in relazione a segnalazioni o reclami proposti.
Il piano ispettivo del Garante Privacy per il secondo semestre 2020 mira quindi ad accertare soprattutto la presenza e l’accuratezza di Policy e procedure contro i Data Breach: è dunque importante che le aziende siano in grado di dimostrare la propria Accountability (leggi in merito l'articolo "Cosa significa Accountability?") sia dal punto di vista delle politiche e dei regolamenti aziendali, sia dal punto di vista implementativo e tecnologico.
Infatti, l’attenzione dell’Autorità continuerà a interessare le aree cruciali per la Privacy secondo quanto stabilito dal GDPR, con l'introduzione di nuove sfere di interesse quali:
trattamenti dei dati personali effettuati mediante applicativi per la gestione delle segnalazioni di condotte illecite (il cosìddetto Whistleblowing, vedi sopra);
trattamenti dei dati personali effettuati da intermediari per la fatturazione elettronica;
trattamenti di dati personali effettuati da Enti pubblici in tema di rilascio di certificati anagrafici e di stato civile;
trattamenti di dati personali effettuati da società rientranti nel settore denominato “Food Delivery”;
trattamenti di dati personali effettuati da società private di rating reputazionale, ovvero da società private in tema di banche reputazionali;
trattamenti di dati personali effettuati da società private ed Enti pubblici per la gestione e la registrazione delle telefonate nell’ambito del servizio di call center;
violazioni della sicurezza dei dati (Data Breach).
Il Garante evidenzia al riguardo che le ispezioni programmate si focalizzano su alcuni aspetti specifici, quali i controlli nei confronti di soggetti, pubblici e privati, appartenenti a categorie omogenee per quanto riguarda i presupposti di liceità del trattamento e le condizioni per il consenso, qualora il trattamento sia basato su tale presupposto; sul rispetto dell’obbligo dell’informativa, nonché sulla durata della conservazione dei dati.
E' pertanto fortemente consigliato "mettersi al riparo" ovvero mettersi in regola, predisponendo la documentazione necessaria ed adottando le misure di sicurezza previste dal GDPR in base agli specifici parametri dettati dalla propria attività.
Per farlo, i nostri esperti sono a vostra completa disposizione per un colloquio ed un'analisi gratuita.
Enterprise Solutions si occupa di fornire una prima consulenza gratuita a tutte le aziende ed ai professionisti che navigano tra dubbi e incertezze o che vogliono chiarimenti in merito agli adempimenti necessari per la loro attività.
Attraverso la fusione delle competenze di esperti consulenti, specialisti in materia di Privacy e professionisti legali e informatici, possiamo offrire un servizio professionale a 360°.
Contattaci senza impegno a info@enterprise-solutions.net oppure chiamaci ai numeri 371 46 37 145 - 371 46 30 129 o chatta con un nostro operatore cliccando sul box "Serve aiuto" o sul bottone blu con i tre puntini nella versione Mobile.
Seguici anche su Facebook