La pubblicazione del nuovo piano di ispezioni del Garante per la protezione dei dati personali relativo al primo semestre del 2025 offre spunti significativi, seguendo un percorso già tracciato nel semestre precedente e approfondendo nuovi ambiti di analisi.
Il piano delle ispezioni
In data 19 dicembre 2024, l’Autorità Garante per la protezione dei dati personali ha deliberato il piano dell’attività ispettiva da svolgere nel periodo da gennaio a giugno 2025. Il piano prevede almeno 40 accertamenti ispettivi di iniziativa, con il supporto del Nucleo speciale tutela privacy e frodi tecnologiche della Guardia di finanza nelle aree individuate all’interno del provvedimento. Si riscontra così un aumento nell’attività di controllo rispetto al semestre precedente, dove erano previsti almeno 35 accertamenti. Viene confermata l’attività di informazione mensile al Collegio sull’andamento delle ispezioni, al fine di valutare la loro efficacia.
L’incremento degli accertamenti sottolinea l’attenzione dell’Autorità verso lo strumento ispettivo, specialmente considerando che le sanzioni e le ispezioni rimangono i mezzi più efficaci per motivare pubbliche amministrazioni e imprese a conformarsi alle normative. Si spera, in futuro, in un miglioramento della sensibilità delle aziende riguardo al valore reputazionale che deriva dall’essere considerate virtuose nella protezione delle informazioni personali dei clienti.
Il focus su data breach e misure di sicurezza
L’attenzione sugli aspetti di gestione della sicurezza dei trattamenti di dati risulta evidente, soprattutto in risposta agli eventi di data breach recentemente verificatisi in settori chiave. In considerazione della frequenza di tali violazioni in “banche dati di particolare rilievo e delicatezza”, è stata creata una task force interdipartimentale per contrastare il furto di dati e migliorare il livello di sicurezza.
Le ispezioni si concentreranno “sui sistemi di sicurezza e sull’accessibilità delle banche dati”, interessando sia misure tecniche che organizzative. Sono previsti accertamenti specifici nei confronti degli istituti di credito, con focus sulle violazioni di dati personali notificate al Garante e sulle misure adottate per la rilevazione e la prevenzione di tali eventi.
Continueranno gli accertamenti già avviati nel semestre precedente riguardo a profili di interesse generale per diverse categorie di interessati, tra cui gli istituti scolastici riguardo al trattamento dei dati tramite registri elettronici
Proseguono anche le verifiche sulla corretta implementazione delle Linee guida in materia di cookie e strumenti di tracciamento dell’10 giugno 2021, concentrandosi sull’utilizzo dei cookie di profilazione, in parallelo con i reclami pervenuti.
Quali spunti per le organizzazioni e i professionisti
Le organizzazioni e i professionisti devono dedicare particolare attenzione alle valutazioni di rischio effettuate, garantendo che esse siano continuamente aggiornate in vista delle mutate circostanze, per mantenere il controllo sulle attività di trattamento. L’accountability deve essere garantita in modo concreto, evitando la semplice aderenza formale, nel rispettare il delicato equilibrio tra libertà d’impresa e protezione dei diritti e delle libertà delle persone fisiche nel trattamento dei dati. Gli aspetti di sicurezza devono essere parte integrante della gestione dei dati personali, permettendo attività di monitoraggio e misure correttive adeguate.
La valutazione d’impatto sulla protezione dei dati si conferma come lo strumento principale fornito dal GDPR per progettare e controllare gli adempimenti, con il supporto di responsabili e del DPO, anche in situazioni in cui non sia obbligatoria. Inoltre, il rafforzamento dei rapporti con gli outsourcers è sempre più cruciale per garantire che tali soggetti non incorrano in violazioni e relative sanzioni.
Conclusioni
Gli ambiti di intervento delineati nel piano ispettivo suggeriscono un miglioramento dei flussi informativi interni e la valorizzazione delle sinergie tra le diverse funzioni organizzative e i professionisti esterni, al fine di condividere i processi di miglioramento continuo. Particolare attenzione deve essere dedicata alla capacità di comprovare gli adempimenti effettuati, che è il risultato naturale di un sistema di gestione efficace e non di conformismi superficiali.
Note
[1] https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/10100360
[2] https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/10067406
