Nuovo Collegio Garante Privacy: i primi 6 mesi di attività
Il Collegio del Garante privacy è stato rinnovato a luglio 2020, dopo una proroga avvenuta nel 2019 che aveva assicurato la continuità delle funzioni del Collegio.
Il Garante per la protezione dei dati personali è un organo collegiale, composto da quattro membri eletti dal Parlamento, i quali rimangono in carica per un mandato di sette anni non rinnovabile. L’attuale Collegio è stato eletto dal Parlamento il 14 luglio 2020 e si è insediato il 29 luglio 2020, e vede il Prof. Pasquale Stanzione nuovo Presidente del Collegio dopo Antonello Soro.
Già nel corso dei primi sei mesi il nuovo Collegio si è dimostrato molto attivo e presente sui canali social, dove pubblica documenti chiarificatori su molti aspetti della vita dei cittadini. Sono recenti le pubblicazioni sulle modalità di esercitare i diritti di accesso da parte dei cittadini e le schede di approfondimento pubblicate per sensibilizzare sui rischi legati all’utilizzo poco attento di applicazioni che sfruttano l’intelligenza artificiale (Deep Fake e Intelligenza artificiale).
Anche nell’annuncio effettuato in occasione del rinnovo del logo, il Garante ribadisce il suo ruolo di “Istituzione sempre più strategica, dinamica e operativa in un mondo in cui i dati e la rete sono gli elementi cardine di ogni attività e in cui la persona appare sempre più esposta e vulnerabile”.
Prosegue inoltre l’attività ispettiva, deliberata con per il semestre luglio-dicembre 2020 con delibera del 01 ottobre 2020. Questo documento è molto importante per capire come si muoverà l’attività ispettiva dell’Autorità nazionale per la protezione dei dati personali, oltre alle singole segnalazioni che possono provenire dai singoli cittadini.
Il piano ispettivo del secondo semestre 2020 ha previsto accertamenti in materia di:
- Whistleblowing, ovvero il trattamento di dati personali effettuati mediante applicativi per la gestione delle segnalazioni di condotte illecite;
- Fatturazione elettronica, dato che tale strumento permette di acquisire una importante mole di dati ed informazioni sugli interessati;
- ANPR, ovvero in merito al rilascio di certificati anagrafici e di stato civile attraverso l’anagrafe nazionale. In questa materia risulta essere estremamente importante l’aggiornamento e l’esattezza dei dati personali e le relative procedure di rilascio dei certificati ed il trattamento di tali dati;
- Call center, in particolare il trattamento dei dati ad opera di grandi realtà ma soprattutto da parte degli operatori telefonici, i quali molto spesso hanno effettuato spam ed attivazione di servizi non richiesti da parte degli interessati;
- Food delivery, ovvero la consegna a domicilio del cibo. In particolare, questi dati se usati impropriamente oltre la finalità del servizio di consegna può portare a gravi violazioni per i dati personali, nello specifico, risulta importante l’aspetto dell’informativa e la gestione dei consensi;
- Società private in tema di banche reputazionali, ovvero quelle società che offrono ai propri clienti valutazioni sulla solvibilità di determinati soggetti;
- Data Breach, in questo caso l’attività ispettiva si soffermerà su accertamenti di violazioni non segnalate al Garante;
- Controlli su soggetti pubblici e privati, su come gestiscono l’informativa (quindi la comunicazione con gli interessati) e la durata di conservazione dei dati in quanto questi non possono essere conservati per sempre.
Nel corso del 2020 l’attività di controllo del Garante è stata rallentata da due fattori, le poche risorse messe a disposizione all’ufficio in relazione al contesto nazionale e dal contesto pandemico. Ma le sanzioni inflitte sono state numerose ed alcune di notevole ammontare. Da una ricerca condotta a fine 2020 dal portale Web Finance in Bold è emerso che l’Italia risulta al primo posto per numero di sanzioni inflitte in Europa per violazioni in ambito privacy, con quasi 70 milioni di euro. Le sanzioni sono scaturite soprattutto dopo accertamenti effettuati nei confronti delle Società di Telecomunicazioni e realtà che operano nel web.
I colossi americani del web non sono stati colpiti dall’attività del Garante italiano, ma il 2021 sarà un anno importante per l’impatto che potrà avere il GDPR per i loro servizi, anche a seguito dell’abolizione del Privacy Shield.
Con la pandemia di COVID è aumentato esponenzialmente l’uso ancora dei servizi online, con il relativo trattamento di dati personali degli utenti. E indispensabile essere conformi ai requisiti del GDPR per affrontare la sfida del digitale.
Il Garante entro febbraio rilascerà un nuovo piano ispettivo per il primo semestre del 2021 e le aziende e PA dovranno essere pronte per dimostrare di essere compliance con il GDPR e quindi evitare sanzioni da parte dell’autorità nazionale.