Con Deliberazione del 14/02/2019 il Garante per la protezione dei dati personali ha deciso di avviare l’ attività ispettiva, per mezzo della Guardia di finanza, per il periodo gennaio-giugno 2019.
Tale attività ispettiva è indirizzata:
a) ad accertamenti in riferimento a profili di interesse generale per categorie di interessati nell’ambito di:
-trattamenti effettuati dall’ISTAT, per una verifica preliminare sul SIM (Sistema Integrato di Microdati) e altri sistemi informativi statistici come da parere sul programma statistico nazionale del 20 ottobre 2015;
-trattamenti di dati personali effettuati per il rilascio dell’identità federata (SPID);
-trattamenti di dati personali effettuati da Istituti bancari, con particolare riferimento ai flussi di cui all’anagrafe dei conti;
-trattamenti di dati personali effettuati da società per attività di marketing;
-trattamenti di dati personali effettuati da Enti pubblici, con riferimento a banche dati di notevoli dimensioni;
-trattamenti di dati personali effettuati da società con particolare riferimento all’attività di profilazione degli interessati che aderiscono a carte di fidelizzazione.
b) a controlli nei confronti di soggetti, pubblici e privati, appartenenti a categorie omogenee sui presupposti di liceità del trattamento e alle condizioni per il consenso qualora il trattamento sia basato su tale presupposto, sul rispetto dell’obbligo dell’informativa nonché sulla durata della conservazione dei dati. Ciò, prestando anche specifica attenzione a profili sostanziali del trattamento che spiegano significativi effetti sugli interessati;
2. l’attività ispettiva riguarderà, relativamente ai punti a), e b) di cui al punto 1), n. 100 accertamenti ispettivi di iniziativa effettuati anche a mezzo della Guardia di finanza.
Resta fermo che l’Ufficio potrà svolgere ulteriori attività istruttorie di carattere ispettivo d’ufficio ovvero in relazione a segnalazioni o reclami proposti oppure nel quadro di eventuali operazioni congiunte di cui all’art. 62 del Regolamento.
L’Ufficio informerà il Collegio sull’individuazione dei soggetti di cui ai punti a), e b) e riferirà, alla fine del semestre sull’andamento delle attività ispettive e delle attività istruttorie a carattere ispettivo, a qualunque titolo compiute, ai sensi di quanto previsto dall’art. 9, comma 4, lettera e) del Regolamento n. 1/2000 (come modificato dalla deliberazione n. 374 del 25 giugno 2015).
In sintesi dalla deliberazione dell’Autorità Garante emerge che i primi controlli avranno come focus i soggetti che trattano dati sensibili finalizzati ad accertare il rispetto dei principi stabiliti dal GDPR in materia di Protezione dei dati personali.