Con la Deliberazione del 22 dicembre 2021, n. 452, il Garante per la Protezione dei Dati Personali ha reso noto il piano delle attività ispettive per il primo semestre del 2022.
In particolare, l’attività ispettiva per il periodo gennaio – giugno sarà indirizzata:
A) ad accertamenti in riferimento a profili di interesse generale per categorie di interessati nell’ambito di:
- trattamenti di dati personali nei confronti di “fornitori di database”;
- trattamento di dati personali svolti da piattaforme e siti web in ordine alla corretta gestione dei cookies;
- trattamento di dati personali nel settore della c.d. “videosorveglianza”;
- trattamento di dati da parte di siti di incontri; operatori dell’ambito della c.d. “data monetization” e da parte di produttori e distributori di smart toys;
- algoritmi e intelligenza artificiale in ambito pubblico e privato;
B) ad accertamenti nei confronti di soggetti pubblici e privati, al fine di verificare l’osservanza delle disposizioni in materia di protezione dei dati personali, con particolare riferimento alla corretta individuazione dei titolari e dei responsabili del trattamento, anche in relazione all’utilizzo di app. e altri applicativi informatici; attenzione particolare sarà riservata all’acquisizione di informazioni e dati personali da parte di app istallate sugli smartphone e alla verifica sul corretto trattamento dei dati da parte di app diverse da Verifica C19.
L’attività ispettiva sarà di regola affidata al Nucleo Speciale Tutela Privacy e frodi informatiche della Guardia di Finanza.
L’Autorità Garante potrà comunque svolgere ulteriori attività ispettive d’ufficio, o sulla base di segnalazioni o reclami.
In termini operativi, nel caso di ispezione da parte del Garante, sarà necessario farsi assistere dal proprio DPO, o in mancanza, dal referente privacy o dai consulenti privacy dell’azienda, al fine di produrre le prove documentali richieste, anche a dimostrazione del rispetto del principio di Accountability da parte del Titolare del trattamento.
In tal senso indichiamo, a titolo di esempio, parte della documentazione da produrre nel caso di ispezione: il Registro dei Trattamenti; le procedure implementate; le informative sui trattamenti di dati personali; l’analisi dei rischi e valutazioni di impatto – DPIA - svolte; gli atti sottoscritti ai sensi dell’art 28 GDPR; in alcuni casi la documentazione relativa alla gestione dei cookie e la documentazione tecnica sulle misure di cifratura o pseudonimizzazione applicate ai Database dei dati personali.
Qualora i sistemi di videosorveglianza riprendano anche postazioni di lavoro o zone di transito dei lavoratori, ricordiamo che dovrà essere esibito ai Pubblici Ufficiali l’accordo con le rappresentanze con i lavoratori, o, in mancanza, l’autorizzazione amministrativa dell’Ispettorato del Lavoro competente.
Fermo restando l’obbligo, per chiunque tratti dati personali, di piena conformità al GDPR, al Codice Privacy e ai provvedimenti dell’Autorità Garante, raccomandiamo a coloro che operano nei settori sopraindicati di effettuare un’approfondita verifica, per non farsi cogliere impreparati nel caso di una eventuale ispezione.
Torna alle news