Il Garante per la protezione dei dati personali ha annunciato con deliberazione del 10 dicembre 2020 l’action plan relativo all’attività di controllo e verifica per il periodo gennaio-giugno del 2021.
L’attività di accertamento verrà condotta attenzionando previamente i siti web delle aziende, atteso l’attuale sviluppo dell’emergenza epidemiologica. E particolare enfasi negli accertamenti sarà posta proprio sui cambiamenti che il Covid-19 ha determinato nell’utilizzo delle tecnologie aziendali, sullo sviluppo del commercio elettronico e nel trattamento dei dati personali a ciò connesso.
Le verifiche, che potranno essere indirizzate a soggetti non necessariamente individuati sulla base di reclami, esposti o segnalazioni, potranno poi proseguire fisicamente nei locali delle aziende/enti interessati, e saranno delegate alla Guardia di finanza o curate direttamente dal personale dell’Ufficio del Garante. Gli ispettori potranno accedere agli uffici o ai luoghi di ispezione, effettuare interviste e porre domande, pertinenti all’attività di ispezione, alle risorse umane dell’azienda, richiedere produzioni documentali ed informazioni necessarie agli accertamenti ed apporre sigilli.
Le tematiche oggetto di accertamento si concentreranno prevalentemente nell’ambito del data breach, del trattamento di dati biometrici per il riconoscimento facciale e del trattamento di dati personali, principalmente nel settore “Food delivery” e dei “data broker”, oltreché del trattamento dei dati personali nella videosorveglianza domestica e nei sistemi audio/video applicati al “gaming”.
Le ispezioni saranno volte alla verifica dei presupposti di liceità del trattamento dei dati e alle condizioni per il consenso qualora il trattamento sia fondato su tale base giuridica. L’oggetto delle attività di carattere ispettivo sarà costituito, inoltre, dal rispetto dell’obbligo dell’informativa nonché dalla durata della conservazione dei dati in conformità al regolamento UE n. 679/2016.
La previsione di tali ispezioni, destinate sia al settore pubblico che al privato, rende imprescindibile un adeguamento puntuale e corretto delle politiche aziendali al testo normativo europeo generale per la tutela dei dati personali. I vertici dell’azienda, in particolare, dovranno poter dimostrare di aver gestito il processo di continuo aggiornamento ed adattamento al Regolamento generale sulla protezione dei dati, anche mediante il supporto di un professionista specializzato in materia di privacy e data protection.
[A cura della dott.ssa Soraya El Hachimi]