Sulle attività ispettive del Garante della Privacy

| 06/11/2019 15:19

Commento a cura di Margherita Grassi Catapano e Francesca Sutti, partner dello Studio Legale WLex


Periodo di intensa attività ispettiva del Garante per la Privacy. Come si evince dalla Newsletter del 28 ottobre 2019 dello stesso Garante, le ispezioni programmate con l'ausilio del nucleo speciale della Guardia di Finanza sono circa un centinaio. Nel primo semestre del 2019 sono stati iscritti al ruolo 779 casi, a breve ne verranno iscritti al ruolo altri 500.


Le attività ispettive sono dedicate principalmente ad alcuni settori nominalmente individuati, primo tra tutti quello bancario. In questo settore il focus è sui flussi verso l'anagrafe dei conti correnti: è presumibile ritenere che il Garante vorrà verificare che siano state istituite politiche e meccanismi di controllo idonei e che siano stati strutturati processi per la revisione periodica e la valutazione dell'efficacia delle politiche di protezione dei dati.


Essendo quelli bancari estremamente sensibili per l'utente, è cruciale che gli istituti comincino dall'analisi dei rischi e conseguentemente dalla valutazione di adeguatezza dei presidi posti in essere. Inoltre, come per tutti i trattamenti valutati a rischio significativo, ad esempio l'anagrafe dei flussi di conto corrente, è spesso consigliabile procedere con un'analisi di impatto (Data Protection Impact Assessment, DPIA).


Tra i settori che saranno oggetto di ispezioni, uno particolarmente delicato è quello del trattamento dei dati sanitari da parte di aziende private.


In quanto in grado di rivelare dettagli molto privati della persona, i dati sanitari sono ricompresi nella più vasta categoria di quelli soggetti a trattamento speciale (art. 9 GDPR) e, quindi, a una tutela rafforzata. Più precisamente, il GDPR stabilisce che il trattamento dei dati personali effettuato per finalità di tutela della salute e incolumità fisica dell'interessato o di terzi o della collettività deve essere effettuato in conformità a specifiche disposizioni.


Cosi come per l'anagrafe dei conti correnti bancari, anche qui è consigliabile una valutazione di impatto, ricordando che, se all'esito di tale processo dovesse risultare un rischio residuo, è sempre possibile rivolgersi al Garante per una sua valutazione.


Non sorprende, ma in qualche modo allarma le imprese, il focus sulle procedure di segnalazione di possibili violazioni di leggi, regolamenti, ordini di pubblica autorità o anche solo di regole interne all'organizzazione (cd. whistleblowing). Si tratta di un tema che coinvolge qualunque azienda e il fatto che il Garante lo annoveri tra le priorità di intervento ha destato qualche preoccupazione tra i team legali di compliance di molte aziende. Tanti si stanno affrettando a rivedere il proprio schema per la gestione delle segnalazioni interne al fine di integrarlo con quello di gestione della privacy.


Il centro di entrambi i sistemi è la tutela della riservatezza del segnalante, anche e soprattutto, per proteggerlo da possibili ritorsioni, ma, di fatto, un sistema gestionale conforme ai dettami della cd. 231 non soddisfa necessariamente i requisiti della normativa per la protezione dei dati. Per esempio, è necessario chiedere un consenso specifico al trattamento dei dati al dipendente che effettua la segnalazione, non bastando quello generale. Ancora, lo stesso deve essere specificatamente informato in merito alle modalità di retention dei dati contenuti nella segnalazione e nei documenti eventualmente allegati alla stessa.

È poi in ogni caso necessario un risk assessment dei diritti e delle libertà degli interessati in gioco, e della proporzionalità del sistema. Per inciso, il Garante Privacy già nel 2009 aveva posto la sua attenzione sulla disciplina del whistleblowing, evidenziando un problema nel sistema disegnato dalla 231.


Tra gli altri settori nel mirino del garante anche il marketing e la fatturazione elettronica.
In generale, va detto che questa ampia attività ispettiva è certamente posta in essere a fini di deterrenza (e ne è prova la pubblicità che ne è stata data dallo stesso Garante), ma sarà molto utile a tutti per ricavarne principi applicativi che possano guidare le aziende in questo quanto mai intricato settore normativo.

Vetrina