Nuovo semestre di ispezioni del garante

Con la newsletter del 26 ottobre (qui) viene rinnovato l’elenco delle categorie sottoposte alle ispezioni del Garante Privacy italiano

Ispezioni del garante: vecchi nomi e novità

Si leggono nell’elenco attività già oggetto dei periodi precedenti, come i call center e le attività legate a marketing massivo, soprattutto nell’ottica di verifca delle condizioni di informativa ed accettazione.

Ma troviamo anche alcune novità soprattutto in ottica di verifca dei trattamenti per la fatturazione elettronica, per il “food delivery” (tramite le APP ad esempio).

Compaiono alcuni punti “specifici” legati a stretto filo con le tematiche della privacy:

• controllo delle banche dati “reputazionali” gestite da società private (controlli credito, profilazione, ecc)
• data breach, perché colpite anche grandi aziende strategiche (Toyota, Nintendo, Enel, Unicredit, Luxottica per citare alcuni nomi) che si trovano a dover fare i conti con perdite o trafugamento di dati e l’aumento esponenziale delle criticità di cyber-attacchi

Le ispezioni del garante saranno svolte anche con la collaborazione della Guardia di Finanza, oltre che dall’apposito nucleo Privacy della Polizia Postale e dal pool del Garante.

Sembra però che siano stati sollevati i carichi di controllo sulle aziende che già nel picco del COVID (Gennaio/Giugno) erano state oggetto di controllo, salvo poi restare coinvolte nella crisi generalizzata: tour operator, intermediazione immobiliare e altre piccole realtà.
Spariscono le banche… forse perché già impegnate ad adottare sistemi di sicurezza più solidi. Attendiamo.

Si pone comunque un obiettivo

Nella delibera si legga anche un dato particolare, al punto 2

“l’attività riguarderà 30 accertamenti ispettivi” dato che fa pensare che siano stati identificati gli obiettivi da sottoporre al controllo.

Traiamo questa conclusione per due semplici motivi:

• accertamenti di Luglio/Dicembre che vengono pubblicati a fine Ottobre (con due soli mesi per effettuarli)
• vengono citate “attività” che negli ultimi tempi sono già state oggetto di attenzione, soprattutto da parte dei mass media e dell’opinione pubblica: fatturazione elettronica, data breach ed enti pubblici (ospedali, INPS) che hanno evidenziato le criticità esistenti in tali strutture essendo state oggetto di attacchi

E fornisce i risultati andamentali… entrate in crescita

Il bilancio dell’attività ispettiva e sanzionatoria nel primo semestre del 2020 registra un notevole incremento delle sanzioni (passano da 1 milione 223mila euro del primo semestre del 2019 a 7 milioni 108 mila euro, con un aumento di quasi 6 volte tanto).

Contemporaneamente le aziende/enti sanzionati non si sono avvalsi della facoltà di definizione agevolata prevista dal decreto legislativo n.101 del 2018 e sono quindi state effettuate iscrizioni a ruolo per più di 5 milioni di euro dei circa 2 milioni e mezzo del primo semestre 2019.

Osservando i numeri notiamo come rispettare il Regolamento 2016/679, noto come GDPR, sia necessario non solo per tutelare la privacy, di per sè motivo già più che sufficiente, ma anche per evitare sanzioni elevate, cosa che dovrebbe stimolare le aziende a rispettare ancor più la normativa ed adeguare i comportamenti e le procedure.

Ovviamente la “spesa” per l’adeguamento, alla luce delle cifre riportate sopra, non deve essere vista come un puro costo, bensì come investimento per l’adeguamento degli strumenti e procedure aziendali verso una sicurezza ed una compliance che saranno elemento fondamentale soprattutto nel prossimo futuro, evolvendo verso lo “Smart Working” così come richiesto dalle normative per la limitazione della pandemia.