Nella delibera pubblicata lo scorso 3 agosto, Il Garante per la protezione dei dati personali ha delineato il piano delle attività di ispezione previste per il secondo semestre del 2023. L’autorità esaminerà diverse aree, tra cui la statistica e la ricerca scientifica, il telemarketing, il riconoscimento facciale, i servizi che utilizzano l’identità digitale SPID e la carta d’identità elettronica (CIE) per gli accessi online, nonché l’utilizzo dei cookie e altri strumenti di tracciamento.
Uno dei settori prioritari su cui l’Autorità concentrerà le proprie attività ispettive nella seconda metà dell’anno in corso riguarderà il campo della statistica e della ricerca scientifica, con particolare attenzione alle misure stabilite dall’articolo 89 del Regolamento UE 2016/679 (GDPR) e al concetto di pseudonimizzazione ivi menzionata. Secondo l’Art. 4 GDPR, con pseudonimizzazione ci si riferisce al processo di sostituzione delle informazioni personali identificabili con identificatori unici o pseudonimi per proteggere i dati personali, mantenendo la possibilità di associare tali dati a un individuo solo attraverso informazioni aggiuntive tenute separatamente. L’autorità verificherà il rispetto del principio della pseudonimizzazione proprio nel settore della statistica e della ricerca scientifica.
In secondo luogo, saranno esaminati dall’autorità di controllo tutti i trattamenti dei dati personali effettuati da parte di aziende operanti nel settore energetico. L’obiettivo sarà quello di accertare la sussistenza di eventuali contratti conclusi senza il consenso esplicito degli interessati, che possono avvenire attraverso l’utilizzo di informazioni personali raccolte in modo ingannevole o non trasparente. L’altro aspetto oggetto di verifiche riguarderà l’attività di telemarketing, volto ad impedire ed eventualmente sanzionare attività di trattamento dei dati personali dei consumatori finalizzate ad operazioni di vendita invasive ed indesiderate.
Inoltre, si procederà a verificare il lecito e corretto utilizzo dei dati biometrici (Art. 9 GDPR), nello specifico quello riguardante il riconoscimento facciale, sia nel contesto lavorativo che in altri ambiti socioccupazionali. Considerando la delicatezza del trattamento, le implicazioni in materia di privacy e protezione dei dati personali sono molteplici; una su tutte l’impiego di software in grado di identificare in modo univoco una persona, analizzandone le peculiarità distintive del volto per confrontarle con altre immagini già acquisite.
Saranno poi condotte attività ispettive sui gestori dell’identità digitale (SPID) e sui soggetti che forniscono servizi fiduciari tramite SPID e firma digitale, così come sui fornitori di servizi online che utilizzano SPID e CIE. Proseguiranno poi le verifiche per garantire la corretta implementazione delle Linee guida sui cookie e gli strumenti di tracciamento, utilizzando anche controlli online.
L’ultimo punto menzionato nella delibera dell’autorità Garante riguarda le altre ispezioni che saranno condotte su enti pubblici e privati per verificare la conformità alle normative sulla protezione dei dati personali, compresi reclami e segnalazioni presentati all’Autorità da parte degli interessati che ritengono sussista una violazione dei loro diritti in materia di protezione dei dati personali, come ad esempio la raccolta illegittima di informazioni personali. L’Autorità potrà effettuare controlli periodici o a campione per identificare e correggere violazioni o negligenze nei trattamenti, richiedendo la relativa documentazione ed eventualmente emanando avvertimenti o sanzioni a seconda della gravità dell’infrazione.
Le ispezioni saranno svolte in collaborazione con il Nucleo Speciale Tutela privacy e frodi informatiche delle Fiamme Gialle. Sebbene tipicamente condotte fisicamente presso le sedi delle entità coinvolte, l’Autorità potrà anche effettuare verifiche online riguardanti il trattamento dei dati personali su siti web da parte di soggetti pubblici e privati. I controlli si concentreranno sulla verifica completa dei sistemi di acquisizione, archiviazione, protezione, gestione e cancellazione dei dati personali trattati dalle aziende, mirati a garantire che i trattamenti dei dati personali siano conformi al GDPR e alle disposizioni nazionali.
Fonti: Federprivacy