Per il Garante della privacy si prevede un intenso periodo di ispezioni durante le quali si verificherà il periodo di conservazione dei dati e la regolarità di consensi e informative.
Il piano ispettivo previsto per il secondo semestre 2019 dell’autorità, presieduta da Antonello Soro – così come annunciato dalla deliberazione n. 166 del 12 settembre 2019– si articola su un doppio binario. Uno riguarda appunto alle verifiche a carattere generale su ambiti specifici, tra i quali spiccano i trattamenti collegati alla fatturazione elettronica e i dati trasmessi dalle banche all’anagrafe dei conti tenuta dal Fisco; l’altro si riferisce alle attività ispettive e di revisione d’ufficio o innescate da segnalazioni o reclami proposti dagli interessati. In totale sono programmate fino alla fine del 2019 cento ispezioni. Vanno oltre il numero programmato le ispezioni attività su segnalazioni e reclami e anche altre promosse d’ufficio dallo stesso Garante.
Prendendo in esame i contenuti del piano ispettivo, che può preludere alla applicazione di sanzioni amministrative pesantissime fino ad un massimo di 20 milioni di euro, si riportano specifiche circa i controlli e gli accertamenti.
Controlli – I controlli riguarderanno soggetti, pubblici e privati, appartenenti a categorie omogenee. L’oggetto dei controlli è triplice: rispetto del consenso, quando è richiesto; rispetto dell’informativa; durata della conservazione dei dati. Questi adempimenti sono tra quelli che danno più da pensare a privati e pubblica amministrazione. Il consenso, innanzi tutto, presenta molti trabocchetti sia per la modalità di manifestazione sia per la sua effettiva necessità. Il consenso non può essere rappresentato da una casella già contrassegnata, quello per marketing non deve essere una condizione per poter ottenere un servizio principale, per i dati sensibili deve essere esplicito, per i minori deve essere formulato dai genitori e così via. Così come bisogna fare attenzione al legittimo interesse, che è un presupposto alternativo al consenso, ma che non si sa bene quando potervi ricorrere: cosicché abusare del legittimo interesse di norma significa aver violato l’obbligo di consenso. Un numero maggiore di insidie arriva dall’obbligo di rispettare un termine massimo di conservazione dei dati. È un adempimento volatile, non facile da applicare perché molto spesso non c’è un termine determinato dalla legge o da provvedimenti univoci; molto spesso aziende ed enti hanno timore a cancellare i dati e quasi sempre non ci sono regole interne sul termine di conservazione e, anzi, il titolare del trattamento nemmeno si pone il problema. Si ricorda, invece, che bisogna saper spiegare al Garante perché sono conservati dati per un certo periodo, soprattutto se vengono uste per ragioni di marketing diretto o per profilazione. Il rispetto dell’informativa significa verifica dell’esistenza degli atti di informazione e del loro contenuto. A quest’ultimo proposito bisogna tenere conto non solo degli articoli 13 e 14 del Regolamento Ue sulla privacy 2016/679, ma anche delle prescrizioni specifiche, come ad esempio quelle in materia di cookie mediante i siti internet.
Accertamenti – Il filone degli accertamenti è costituito da ispezioni relative profili di interesse generale per categorie di interessati. Tra questi si annoverano le banche e in particolare i flussi verso l’anagrafe dei conti, tenuta dal Fisco; gli intermediari del servizio la fatturazione elettronica; le società per attività di marketing; gli enti pubblici, con riferimento a banche dati di notevoli dimensioni; attività di profilazione e fidelizzazione; le società rientranti del Food Delivery; la sanità privata.