L’Autorità Garante per la protezione dei dati personali (“Garante Privacy”) ha approvato il piano ispettivo per il periodo gennaio-giugno 2020, che sarà svolto anche con l’ausilio del Nucleo speciale tutela privacy e frodi tecnologiche della Guardia di Finanza.
In particolare, l’attività ispettiva del Garante Privacy riguarderà:
- trattamenti di dati personali effettuati da Enti pubblici relativamente alla c.d. “medicina di iniziativa”;
- trattamenti di dati relativi alla salute effettuati da società multinazionali operanti nel settore farmaceutico e sanitario;
- trattamento di dati personali effettuati nel quadro dei servizi bancari on-line;
- trattamenti dei dati personali effettuati mediante applicativi per la gestione delle segnalazioni di condotte illecite (c.d. whistleblowing);
- trattamenti dei dati personali effettuati da intermediari per la fatturazione elettronica;
- trattamenti di dati personali effettuati da Enti pubblici in tema di rilascio di certificati anagrafici e di stato civile, attraverso l’accesso ad ANPR;
- trattamenti di dati personali effettuati da società private ed Enti pubblici per la gestione e la registrazione delle telefonate nell'ambito del servizio di call center;
- trattamenti di dati personali effettuati da società per attività di marketing;
- trattamenti di dati personali effettuati da società che svolgono attività di profilazione degli interessati aderenti a carte di fidelizzazione;
- trattamenti di dati personali effettuati da società operanti nel settore del “Food Delivery”;
- trattamento di dati personali effettuati da società private in tema di banche reputazionali;
- data breach.
Inoltre, i controlli si concentreranno anche sull'adozione delle misure di sicurezza da parte di pubbliche amministrazioni e di società che trattano particolari categorie di dati personali, sul rispetto dei requisiti previsti per l’informativa e il consenso, sui tempi di conservazione dei dati.
Un primo bilancio dell’attività ispettiva e sanzionatoria del Garante Privacy nel 2019 registra l’applicazione di sanzioni per 15.910.390 di Euro. Sono state effettuate, inoltre, iscrizioni a ruolo per un importo complessivo di 12.243.267 Euro, riguardanti trasgressori che non si sono avvalsi della facoltà di definizione agevolata prevista dal D.Lgs. n.101 del 2018.
Rispetto al primo semestre del 2020, si segnala che il Garante Privacy ha già comminato diverse sanzioni, rispettivamente a:
- Eni Gas e Luce S.p.A. per complessivi 11,5 milioni Euro in merito a trattamenti illeciti di dati personali nell'ambito di attività promozionali e attivazione di contratti non richiesti;
- Tim S.p.A. per 27 milioni e 800 mila Euro in merito a trattamenti illeciti di dati personali legati all’attività di marketing;
- Azienda Ospedaliero Universitaria Integrata di Verona per 30 mila Euro per non aver impedito che i dipendenti potessero accedere indebitamente al dossier sanitario dei colleghi;
- Università degli studi di Roma “La Sapienza” per 30 mila Euro per aver reso accessibili on-line i dati identificativi di due persone che avevano segnalato all'ateneo possibili illeciti (“whistleblowing”).