Fino a dicembre 2019, l’attività ispettiva curata dall’Ufficio del Garante, anche per mezzo della Guardia di finanza, è indirizzata ad accertamenti a profili di interesse generale nell’ambito di:
- trattamenti di dati personali effettuati da Istituti bancari;
- trattamenti dei dati personali effettuati mediante applicativi per la gestione delle segnalazioni di condotte illecite (c.d. whistleblowing);
- trattamenti dei dati personali effettuati da intermediari per la fatturazione elettronica;
- trattamenti di dati personali effettuati da società per attività di marketing;
- trattamenti di dati personali effettuati da Enti pubblici, con riferimento a banche dati di notevoli dimensioni;
- trattamenti di dati personali effettuati da società con particolare riferimento all’attività di profilazione degli interessati che aderiscono a carte di fidelizzazione;
- trattamenti di dati personali effettuati da società rientranti nel settore denominato “Food Delivery”;
- trattamenti di dati personali in ambito sanitario effettuati da parte di società private.
Il Garante periodicamente rende noti i settori e le attività che saranno oggetto di ispezione nel semestre successivo.
Come avvengono le ispezioni privacy?
- L’Autorità si presenta senza preavviso presso la reception dell’azienda e chiede documentazione e informazioni opportune. Spesso l’analisi inizia dalla revisione del registro dei trattamenti e delle informative privacy, delle valutazioni d’impatto sulla protezione dei dati (DPIA) effettuate e dell’eventuale lettera di nomina del responsabile della protezione dei dati (DPO), se obbligatoria, e la figura dovrà essere presente durante le ispezioni.
Ci sono degli aspetti fondamentali da considerare nell’ambito di un’ispezione privacy: - Le informazioni false possono comportare responsabilità penali. Durante l’ispezione Uno dei documenti richiesti all’Azienda è il registro dei trattamenti, che deve contenere tutti i trattamenti di dati personali eseguiti da parte dell’azienda: è necessario redarlo in maniera adeguata e tenerlo costantemente aggiornato. Il Codice della Privacy sanziona con la reclusione da 6 mesi a 3 anni la falsità nelle dichiarazioni rese all’Autorità.
- La sicurezza informatica. In realtà oltre l’80% dei data breach (violazione dei dati personali) è dovuto a errori umani, ad esempio i dipendenti possono collegare una chiave USB personale al loro PC di lavoro, aprire un’e-mail contenente un virus o utilizzare sempre la stessa password per tutti i loro account di posta elettronica, così esponendo l’azienda a considerevoli rischi di subire attacchi informatici. Per questo è fondamentale fare Formazione sulla Privacy ai propri dipendenti, in modo di contenere questa tipologia di danni.
Alcuni casi esemplari di sanzioni alle aziende
- Il Garante privacy ha sanzionato SERGIC, società specializzata nell’acquisto, nella vendita, nell’affitto e nella gestione di proprietà immobiliari, per 400 mila euro a causa della mancanza di adeguate misure di sicurezza, in violazione dell’art. 32 del GDPR: i dati personali degli utenti, tra cui i documenti trasmessi dai richiedenti affitto contenenti anche copie di carte di identità, erano accessibili online senza una procedura di autenticazione.
- Un altro caso riguarda la società produttrice di mobili IDdesign sanzionata per 200.850 euro per aver conservato i dati di un elevato numero di clienti per un periodo superiore al necessario, violando il principio di limitazione della conservazione di cui all’art. 5, comma 1, lett. e), in cui si specifica che i dati debbano essere “conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati”.
- La compagnia aerea British Airways è stata sanzionata per 204.6 milioni di euro per la violazione dell’art. 32 del GDP: una parte del traffico degli utenti del sito veniva indirizzata verso un sito fraudolento, attraverso cui gli hacker hanno ottenuto i dati personali, tra cui credenziali di accesso, numeri di carte di pagamento, dettagli di prenotazioni, indirizzi, etc., di circa 500 mila clienti.
[wpfilebase tag=fileurl id=819 linktext=’PDF_Ispezioni privacy e sanzioni.’ /]