È QUESTO IL MOMENTO DI CONSIDERARE L’EFFICACIA DELLE SOLUZIONI ADOTTATE
Torniamo a parlare di protezione dei dati personali e GDPR con la notizia che, dando seguito alla deliberazione del 14 febbraio, il Garante privacy ha definito il piano delle ispezioni d’ufficio previste per il primo semestre del 2019. È questo il momento per riconsiderare ed eventualmente rivalutare l’efficacia delle soluzioni adottate e verificare il rispetto del principio di accountability (l’assunzione di responsabilità di una corretta gestione dei dati personali attraverso l’adozione di misure e strumenti adeguati) previsto dal Regolamento europeo.
Nel piano delle ispezioni del primo semestre del 2019 l’Autorità Garante per la protezione dei dati personali ha definito priorità, principi e criteri alla base dell’attività ispettiva. Questa prevede accertamenti sul posto, nei luoghi in cui si effettuano i trattamenti di dati o rilevazioni utili al medesimo scopo, effettuati dal personale dell’Ufficio del Garante o delegati alla Guardia di Finanza. Ne saranno interessati soggetti non necessariamente individuati sulla base di reclami o segnalazioni, facendo riferimento a profili di interesse generale per categorie di interessati nell’ambito di molteplici trattamenti.
In particolare, le ispezioni in programma riguarderanno:
- il trattamento di dati personali effettuati da aziende, per attività di marketing e con particolare riferimento ad attività di profilazione degli interessati che aderiscono a carte di fidelizzazione;
- Istituti bancari, con particolare riferimento ai flussi di dati che alimentano l’anagrafe dei conti;
- Enti pubblici, con particolare riferimento a banche dati di notevoli dimensioni;
- Istat;
- Il trattamento di dati personali per il rilascio delle Identità Digitali SPID.
I controlli in programma verteranno poi sui presupposti di liceità del trattamento e sulle condizioni per il consenso qualora il trattamento sia basato su tale presupposto, sul rispetto dell’obbligo dell’informativa, sulla durata della conservazione dei dati.
LE SANZIONI IMPOSTE DAL GARANTE PRIVACY NEL CORSO DEL 2018
L’attività sanzionatoria del Garante nel 2018 ha già registrato una notevole crescita rispetto all’anno precedente. Si parla di 175 ordinanze-ingiunzione adottate (a fronte delle 109 del 2017) e di 8.161.806 euro riscossi in seguito a sanzioni (contro i 3.776.694 euro riscossi nel 2017). Sono invece diminuite le segnalazioni presentate al Garante: dalle 41 del 2017 a 27 nel 2018.
Tra i soggetti pubblici e privati nel mirino dei controlli effettuati nel 2018: istituti di credito, società di rating sulla solvibilità delle imprese, società che svolgono attività di telemarketing, servizi di money transfer, società assicuratrici e che offrono servizi medico-sanitari, Comuni, Regioni, Istat e provider SPID.
I numeri comprovano l’impegno e gli sforzi profusi dall’Autorità Garante per dare attuazione a un piano di ispezioni che non si concentra solo sulle violazioni ma anche sulla verifica delle misure adottate dalle organizzazione per rispondere alla richiesta di accountability prevista dal GDPR.
PROCEDURE E STRUMENTI A PROVA DI ACCOUNTABILITY
In base al principio di accountability un’organizzazione deve mettere in atto misure tecniche e organizzative tali da garantire, e poter dimostrare, che il trattamento dei dati personali è effettuato conformemente al GDPR.
Come assicurarsi il rispetto del principio di accountability?
Ad esempio adottando sistemi di autoregolamentazione e codici di condotta per regolare le modalità di raccolta dei dati personali, la pseudonimizzazione, le procedure per la notifica di eventuali violazioni dei dati, ecc.
Come eseguire le attività legate al trattamento dei dati in modo efficiente?
InfoCert e Sixtema offrono una suite di strumenti software per rispondere alle disposizioni del GDPR sotto numerosi aspetti: dal monitoraggio dei log alla gestione del Registro dei Trattamenti, attraverso soluzioni di strong authentication, gestione dei consensi al trattamento, archiviazione e condivisione cifrata di dati in cloud.
3 aprile 2019