Il Garante Privacy ha pubblicato il piano ispettivo per il primo semestre 2025, per il periodo gennaio – giugno 2025. Gli interventi si concentrano su settori e aree specifiche, proseguendo l’attività ispettiva avviata nei semestri precedenti e introducendo anche nuovi ambiti. Vediamoli nell’articolo.
Articolo originale di GDPRlab.it
Continuità rispetto al semestre precedente
Il Garante Privacy, in data 19 dicembre 2024, ha deliberato il piano ispettivo 2025, che prevede almeno 40 accertamenti ispettivi. Ciò testimonia un aumento dell’attività di controllo, dato che nel precedente ne erano previsti almeno 35.
Si confermano i principali ambiti di intervento, tra cui la protezione delle banche dati pubbliche, il trattamento dei dati nelle banche e negli istituti di credito, la gestione dei dati biometrici, la gestione dei dati nelle scuole ed i sistemi di cookie di profilazione e tracciamento online.
La delibera del Garante prevede che le ispezioni siano condotte in collaborazione con il Nucleo speciale di tutela privacy e frodi tecnologiche della Guardia di Finanza, con lil quale ha posto in essere un apposito protocollo nel 2021.
Continuità rispetto al semestre precedente
Alcuni ambiti sono già stati oggetto di attività ispettive. L’intento è quello di proseguire il monitoraggio e rafforzare il controllo.
Sistemi di videosorveglianza
Nel piano ispettivo 2025 gli accertamenti riguarderanno anche i sistemi di videosorveglianza. Il Garante per la protezione dei dati personali si occuperà di garantire che i trattamenti delle immagini siano effettuati nel rispetto del GDPR. In particolare ricordiamo che, tutti coloro che installano un impianto di videosorveglianza, hanno l’obbligo di:
- segnalare con appositi cartelli l’area videosorvegliata e di garantire un trattamento dei dati di tutti coloro che vengono ripresi in rispetto al GDPR e alla normativa privacy italiana;
- richiedere l’autorizzazione all’Ispettorato del lavoro.
Per saperne di più > Videosorveglianza in azienda: installare un impianto in regola
Cookie di profilazione e tracciamento online
Il Garante si occuperà anche delle verifiche sull’uso dei cookie di profilazione e sulle pratiche di tracciamento. Il monitoraggio dell’attività online degli utenti, attraverso l’installazione di cookie di profilazione, deve avvenire nel pieno rispetto della normativa GDPR, che impone il consenso informato e liberamente espresso da parte degli utenti prima che tali tecnologie possano essere attivate. Ne abbiamo parlato più volte, ribadendo l’importanza di dotare siti web e web app di strumenti come il nostro widget Acconsento.click
Per saperne di più > Conformità al GDPR: qualche consiglio per il sito web
Banche dati pubbliche e data breach
Nel piano ispettivo 2025 del Garante Privacy viene riservata un’attenzione particolare agli accertamenti relativi ai data breach che coinvolgono banche dati pubbliche di particolare importanza e sensibilità. Verranno verificati i sistemi di sicurezza e la gestione dei profili di accessibilità delle banche dati, in modo tale che venga verificata l’implementazione di misure efficaci per la protezione dei dati personali.
Banche dati degli istituti di credito
Proseguiranno anche gli accertamenti sui sistemi di trattamento dati della banche e istituti di credito. In particolare, l’attenzione sarà focalizzata sulle violazioni dei dati personali notificate al Garante. Saranno analizzati i sistemi di rilevamento delle violazioni ma anche le misure implementate per prevenirle.
Per approfondire > Data breach: la guida pratica dell’EDPB per le notifiche e gestione del rischio (soprattutto quello umano)
Call center ed e-mail marketing
L’attenzione del Garante per la protezione dei dati personali si concentrerà anche sulle imprese che gestiscono call center e servizi di e-mail marketing, con particolare focus sull’uso illecito di indirizzi email e banche dati.
Nonostante l’adozione di un codice di condotta nel 2023, le ispezioni precedenti e l’adozione di provvedimenti sanzionatori, il trattamento illecito dei dati personali continua a persistere. Pertanto il corretto uso di banche dati per l’invio di comunicazioni promozionali, continuerà ad essere monitorato.
Settore energetico
L’ispezione si focalizzerà anche sull’attivazione di contratti non richiesti nel settore energetico, puntando sul rispetto della normativa in merito al consenso da parte dei consumatori interessati per evitare pratiche di marketing aggressive.
Gestori dell’identità digitale
A rientrare nel piano ispettivo 2025 del Garante Privacy saranno anche i gestori dell’identità digitale (SPID), ma anche la filiera dei soggetti di cui si avvalgono per rilasciare servizi fiduciari tra cui SPID e firma digitale.
Trattamento dei dati personali nelle scuola
Le ispezioni proseguiranno anche nei confronti degli istituti scolastici, per verificare in particolare che i dati gestiti tramite i registri elettronici siano trattati in modo sicuro e conforme.
Piano ispettivo 2025: nuovi ambiti oggetto di accertamento
L’attenzione del Garante, nel primo semestre 2025, si concentrerà su nuovi ambiti di intervento, in risposta a evoluzioni tecnologiche e alle pratiche di mercato emergenti.
Progetti inseriti nel PSN
Tra i settori da monitorare, spiccano i progetti inseriti nel Programma Statistico Nazionale (PSN), con un focus particolare sull’utilizzo di big data e dati sintetici. Le ispezioni verificheranno che il trattamento di questi dati sia conforme ai principi di responsabilizzazione, di privacy by design, al principio di limitazione della conservazione e alla minimizzazione dei dati. In particolare, sarà necessario garantire che i dati siano adeguati, pertinenti e limitati a quanto strettamente necessario per le finalità per le quali sono trattati, evidenziando che il Regolamento richiede una valutazione della qualità e quantità delle informazioni fin dalla progettazione, in linea con i principi di protezione dei dati fin dall’inizio.
Dati biometrici
Altri ambiti di intervento riguarderanno l’utilizzo di dati biometrici. Ad esempio, sono previste verifiche sull’utilizzo di queste informazioni per l’ammissione agli esami di patente di guida presso gli uffici della Motorizzazione civile.
Oltre alle aree menzionate, il Garante per la Protezione dei dati personali proseguirà con una serie di accertamenti generali nei confronti di soggetti pubblici e privati per verificare che vengono rispettate tutte le disposizioni in materia di protezione dei dati personali.
Piano ispettivo 2025 del Garante Privacy: come prepararsi?
Da esperti nel campo della privacy e della sicurezza dei dati personali, abbiamo osservato che spesso c’è scarsa attenzione verso normative cruciali come il GDPR, la direttiva ePrivacy e la Cookie Law. Inoltre, è diffusa la credenza errata che la conformità al GDPR sia un obiettivo da raggiungere una sola volta. In realtà, si tratta di un processo continuo che richiede aggiornamenti e gestione costanti.
Tra le prime misure che le aziende possono (e in alcuni casi devono) implementare vi è la valutazione d’impatto sulla protezione dei dati (DPIA). Questa non deve essere vista come un’analisi isolata, ma come una pratica che deve essere aggiornata ogni volta che si verificano modifiche nei trattamenti dei dati personali. Lo scopo della DPIA è quello di analizzare un trattamento di dati personali, valutarne necessità, proporzionalità e gestire gli eventuali rischi ai diritti e alla libertà ai quali il trattamento può esporre gli interessati. Qualora un trattamento possa comportare rischi, il titolare ha la responsabilità di identificare e adottare misure specifiche per minimizzarli o eliminarli.
Questo ovviamente non basta. Per prepararsi alle ispezioni del Garante le aziende devono garantire che i consensi siano ottenuti in modo libero, esplicito e facilmente tracciabile. Inoltre, deve essere garantita la possibilità di revocarli senza difficoltà. È fondamentale inoltre fornire informative chiare, aggiornate e conformi alla normativa, assicurandosi che siano facilmente accessibili e comprensibili. Un altro elemento cruciale è avere un registro dei trattamenti completo e dettagliato, che delinei chiaramente le misure di sicurezza adottate. Le aziende devono anche implementare una politica interna robusta per prevenire e gestire efficacemente i data breach, garantendo una comunicazione tempestiva e chiara. Infine, è indispensabile una formazione continua per i dipendenti, affinché siano adeguatamente preparati a gestire i rischi legati al trattamento dei dati personali.
Per saperne di più > Ispezioni Garante Privacy? Niente panico, ecco cosa fare
Vuoi mettere in conformità il tuo sito web?