Adeguamento normativa Privacy, un anno dopo: cosa sta accadendo?

Dopo un anno dalla piena applicazione del Regolamento Europeo, da maggio 2019 sono iniziate le ispezioni del Garante della Privacy, col supporto del Nucleo speciale Privacy della Guardia di Finanza, in merito all’ adeguamento al GDPR e alla normativa Privacy in generale.

La  metodologia seguita nelle ispezioni si concentra su:

A) Verifica generalizzata di accountability

All’inizio della verifica, in via preliminare e generalizzata viene effettuato un controllo sull’applicazione del nuovo principio dell’accountability. In questa fase viene richiesto quanto segue:

  1. Registro dei trattamenti effettuati dall’Azienda in qualità di Titolare dei dati;
  2. Registro dei trattamenti effettuati dall’Azienda in qualità di Responsabile dei dati (ove l’Azienda effettui attività di trattamento anche “per conto” di terzi ai sensi dell’art 28 GDPR);
  3. Presenza del DPO (data protection officer) e ove non presente in quanto non ritenuto necessario documentazione scritta che giustifica e supporta la decisione;
  4. Procedure di accountability. Vale a dire:
    1.  DPIA: procedura di identificazione e di gestione dei casi che richiedono una preventiva valutazione di impatto).2.
    2.  Diritti di Controllo dei dati:  procedura di gestione dei diritti dell’interessato (accesso, rettifica, oblio, portabilità dei dati, revoca del consenso, opposizione…)
    3. Data Breach: procedura di gestione dei casi di violazioni dei dati e Registro delle violazioni.
    4. Privacy by design e by default: procedura di gestione della protezione dei dati fin dalla progettazione e per impostazione predefinita.

B) Verifica specifica

Esaurita la fase preliminare e generalizzata, l’ispezione prosegue col controllo di coerenza col GDPR dello specifico tema oggetto del programma di ispezione. In questo semestre il piano annunciato dal Garante Privacy riguarda in particolare:

  1. rispetto delle norme su informativa e consenso;
  2. durata di conservazione dei dati;
  3. misure di sicurezza;
  4. trattamento dei dati sulla salute;
  5. telemarketing e carte fedeltà;
  6. oltre che ispezioni svolte in riferimento a segnalazioni e reclami da parte di cittadini.

La vigilanza nell’ambito della cybersecurity

Sul fronte cybersecurity l’Autorità ha proseguito anche nel 2018 l’attività di vigilanza e intervento procedendo d’ufficio o a seguito di specifiche segnalazioni o comunicazioni relative a violazioni di dati personali (data breach), alcune delle quali particolarmente gravi (Cambridge Analytica, violazioni dei sistemi di posta di importanti player, etc.) . 

Ispezioni GDPR: alcuni casi specifici

Il settore sanità nell’ambito del GDPR

Nel settore della sanità il Garante è intervenuto con un provvedimento generale a chiarire come attuare le novità introdotte dal Regolamento Ue 679/2016: in tale ambito ha precisato che è possibile trattare dati sanitari solo previo consenso dell’interessato, nel caso, tra i vari, di utilizzo di app mediche, escluse quelle di telemedicina.

Telemarketing e tutela della privacy

Sul fronte della tutela dei consumatori il Garante ha proseguito l’impegno contro il telemarketing aggressivo con l’applicazione di pesanti sanzioni agli operatori che utilizzano i dati degli abbonati senza il loro consenso. Il Garante ha accertato rilevanti illeciti da parte di società di telefonia, ha svolto ispezioni presso diversi call center e ha suggerito al legislatore modifiche normative per rafforzare le garanzie dei cittadini.

Il telemarketing e il teleselling sono sicuramente delle tematiche su cui il Garante si sta molto concentrando al fine di far emergere, attraverso attività di ispezione su numerosi call center, comportamenti scorretti da parte delle aziende e degli operatori di call center.

Infatti recentemente il Garante Privacy ha comminato una sanzione di oltre 2 milioni di euro ad una società che aveva svolto, tramite un call center albanese, attività di telemarketing e teleselling per conto di una azienda del settore energetico, in violazione della normativa sulla protezione dei dati personali in vigore prima del Regolamento europeo.

Il Registro pubblico delle opposizioni

In tale ambito bisogna anche tenere in considerazione le scelte dei consumatori/cittadini espresse attraverso l’iscrizione al Registro delle opposizioni. Al Registro possono iscriversi gli utenti che non intendono ricevere offerte promozionali, né sul telefono fisso (come già avveniva in passato),  né sul cellulare, né tramite la posta cartacea.

Il Garante Privacy ha approvato il regolamento del Ministero dello sviluppo economico che disciplina le nuove regole per il funzionamento del Registro pubblico delle opposizioni (Rpo): il Garante ha ritenuto necessario precisare ulteriormente che l’iscrizione al Registro comporta automaticamente l’opposizione a tutti i trattamenti a fini promozionali, da chiunque effettuati, con la revoca anche dei consensi manifestati in precedenza.

Siamo ora in attesa dei decreti attuativi per rendere completamente operative le nuove funzionalità del Registro delle opposizioni. Per le aziende che effettuano attività di telemarketing e teleselling  le suddette regole rappresentano un impatto non trascurabile sulle attività ed anche una limitazione: in pratica devono rivedere tutte le liste di potenziali clienti in loro possesso eliminando coloro che sono presenti nel Registro delle opposizioni (con numero di telefono fisso, oppure cellulare, oppure indirizzo postale), anche se hanno ricevuto il consenso in precedenza.