[doc. web n. 9981356]

Provvedimento del 29 dicembre 2023 - Attività ispettiva di iniziativa curata dall'Ufficio del Garante, anche per mezzo della Guardia di finanza, limitatamente al periodo gennaio-luglio 2024

Registro dei provvedimenti
n. 636 del 29 dicembre 2023

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento UE 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione dei dati (di seguito “Regolamento”);

VISTO il Decreto legislativo 30 giugno 2003, n. 196, come modificato dal d.lgs. 10 agosto 2018, n. 101, recante disposizioni per l'adeguamento dell'ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTI gli articoli 157 e 158 del Codice e l’art. 58 del Regolamento concernente, in particolare, i poteri di indagine;

VISTI gli artt. 2, comma 1, lettere a) e c), 6, 7 e 8 del regolamento del Garante n. 1/2000 sull'organizzazione e il funzionamento dell'Ufficio del Garante (doc. web. n. 1098801);

VISTI i regolamenti del Garante n. 1/2019, concernente le procedure interne all’Autorità aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, con particolare riferimento agli artt. 4, 21 e 22 (doc. web n. 9107633), e n. 2/2019, concernente l'individuazione dei termini e delle unità organizzative responsabili dei procedimenti amministrativi presso il Garante per la protezione dei dati personali (doc. web n. 9107640);

VISTO il protocollo di intesa con la Guardia di finanza del 30 marzo 2021;

VISTA la deliberazione del Garante n. 339 del 3 agosto 2023, recante la programmazione dell’attività ispettiva limitatamente al periodo luglio-dicembre 2023;

RITENUTA l’opportunità, anche al fine di stabilire le priorità in relazione alle risorse disponibili, di individuare nuovamente princìpi e criteri che devono informare, in particolare, con cadenza periodica, l’attività ispettiva di iniziativa, intendendo per tale l’accertamento in loco curato dal personale dell'Ufficio o delegato alla Guardia di finanza nei luoghi dove si effettuano i trattamenti di dati, o nei quali occorre effettuare rilevazioni comunque utili al medesimo controllo, nei confronti di soggetti non necessariamente individuati sulla base di reclami o segnalazioni;

RITENUTO di dare evidenza altresì allo svolgimento di accertamenti online che saranno svolti in riferimento a trattamenti di dati personali effettuati tramite siti Internet da parte di titolari del trattamento pubblici e privati;

RITENUTA l’opportunità di dare pubblicità alle scelte operate;

TENUTO CONTO dei procedimenti ispettivi in corso al momento dell’adozione della presente deliberazione, nonché di quelli avviati sulla base della precedente programmazione e non ancora conclusi;

VISTE le osservazioni dell’Ufficio formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE l’avv. Guido Scorza;

DELIBERA

limitatamente al periodo gennaio/luglio 2024, l’attività ispettiva di iniziativa curata dall’Ufficio del Garante, anche per mezzo della Guardia di finanza, è indirizzata a:

a) accertamenti in ordine ai trattamenti di dati personali svolti presso gli istituti scolastici attraverso le “piattaforme di registro elettronico e suite digitali”;

b) prosecuzione, tramite accessi ispettivi in loco, delle attività istruttorie concernenti gli accessi abusivi alle banche dati pubbliche (con specifico riguardo all’anagrafe tributaria ed alla banca dati INPS);

c) accertamenti nei confronti di titolari del trattamento che trattano dati personali dei dipendenti, anche ai fini valutativi, tramite sistemi informativi e dispositivi telematici installati su veicoli aziendali o presso centri logistici;

d) prosecuzione delle ispezioni sui gestori dell’identità digitale (SPID) e sulla filiera dei soggetti di cui essi si avvalgono per il rilascio di servizi fiduciari (SPID e firma digitale);

e) prosecuzione delle verifiche in ordine alla corretta implementazione delle Linee guida in materia di cookie e altri strumenti di tracciamento del 10 giugno 2021, anche attraverso lo strumento degli accertamenti on line;

f) accertamenti nei confronti dei titolari del trattamento che operano nel settore energetico con particolare riguardo dell’attivazione di contratti non richiesti e all’attività di valutazione dell’affidabilità della clientela;

g) accertamenti nei confronti di società che gestiscono sistemi di allarme con possibilità di connessione audio/video da remoto;

h) prosecuzione degli accertamenti in ordine ai trattamenti svolti per finalità statistiche e di ricerca scientifica sia presso uffici di statistica appartenenti al SISTAN, sia presso IRCCS;

i) programmazione, come previsto dal Regolamento (CE) 767/2008, del nuovo ciclo di attività di supervisione sui trattamenti di dati personali nel VIS (Sistema informativo dei visti);

j) accertamenti nei confronti di titolari del trattamento in ordine ai problemi concernenti il consenso al marketing e alla profilazione nonché in relazione allo svolgimento di campagne di telemarketing;

k) altri accertamenti nei confronti di soggetti pubblici e privati, al fine di verificare l’osservanza delle disposizioni in materia di protezione dei dati personali, ivi incluse le istruttorie relative a reclami e segnalazioni formali proposti all’Autorità ed in istruttoria presso i relativi Dipartimenti e Servizi.

L’attività ispettiva programmata con la deliberazione in data odierna riguarderà, relativamente ai punti da a) fino a k) almeno 50 accertamenti ispettivi, effettuati anche a mezzo della Guardia di finanza.

Resta fermo che l’Ufficio potrà svolgere ulteriori attività istruttorie di carattere ispettivo d’ufficio, o in relazione a segnalazioni o reclami proposti.

L’Ufficio informerà mensilmente il Collegio sui soggetti ispezionati appartenenti alle categorie da a) a k) e riferirà, alla fine del semestre, sull’andamento complessivo delle attività ispettive e delle attività istruttorie a carattere ispettivo, a qualunque titolo compiute, ai sensi di quanto previsto dall’art. 9, comma 4, lettera e) del Regolamento n. 1/2000 (come modificato dalla deliberazione n. 374 del 25 giugno 2015).

Roma, 29 dicembre 2023

IL PRESIDENTE
Stanzione

IL RELATORE
Scorza

IL SEGRETARIO GENERALE
Mattei