L’attività ispettiva, ai fini della verifica dell’applicazione del Regolamento Ue, sarà però orientata sui trattamenti più rilevanti
Il Garante per la protezione dei dati personali ha presentato ieri, presso la Camera, la Relazione annuale, contenente l’indicazione dell’attività svolta nel 2017, lo stato di attuazione della legislazione in materia di protezione dei dati e le prospettive di azione.
Come evidenziato nel discorso del Presidente dell’Autorità garante, Antonello Soro, la suddetta Relazione si inserisce in un contesto normativo europeo particolare, in quanto caratterizzato dall’applicazione, a decorrere dallo scorso 25 maggio, del Regolamento Ue 2016/679 (GDPR), concernente la tutela delle persone fisiche con riguardo al trattamento dei dati personali e alla libera circolazione di tali dati. Tale disciplina ha profondamente mutato il quadro giuridico europeo, adeguando in maniera organica, in particolare, il diritto ai mutamenti generati dallo sviluppo delle nuove tecnologie e ponendo al centro dell’“agenda politica le implicazioni del digitale sulla libertà, l’autodeterminazione, l’identità”.
Proprio in vista dell’applicazione del GDPR, il Garante della privacy nella Relazione evidenzia le molteplici iniziative intraprese dall’Autorità stessa sul versante nazionale, quale la campagna d’informazione e di comunicazione rivolta alla collettività, mediante la diffusione di opuscoli, pagine informative, infografiche e FAQ (ad esempio, le FAQ sul Responsabile della protezione dei dati in ambito pubblico e privato, rispettivamente del 15 dicembre 2017 e 26 marzo 2018, predisposte dal Garante della privacy in aggiunta a quelle già adottate dal Gruppo Art. 29).
Con riferimento ai soggetti pubblici, viene fatto presente l’invio nel 2017 di una comunicazione ai vertici delle amministrazioni centrali e locali, volta a “sollecitare” le attività di recepimento dei nuovi adempimenti previsti dal GDPR, indicando fra le priorità la designazione del RPD, l’istituzione del registro delle attività di trattamento, la definizione della procedura di gestione delle violazioni di dati personali (data breach).
Quanto all’ambito della giustizia, sicurezza pubblica e nazionale, si fa presente l’emanazione della Direttiva Ue 2016/680, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati.
A tale direttiva è stata data attuazione in Italia con il DLgs. 51/2018, che ha introdotto alcune norme di rilievo. Fra queste, in particolare, si fa presente la previsione del diritto a ottenere, anche nel processo, la rettifica, cancellazione o limitazione dei dati contenuti in atti giudiziari.
Un altro aspetto di specifico interesse riguarda il marketing. In particolare, contro l’attività di telemarketing “selvaggio”, relativo all’invio di comunicazioni commerciali, il Garante della privacy ha sottolineato l’“impegno straordinario” impiegato mediante controlli effettuati, anche fuori dei confini nazionali, nei confronti innanzitutto dei principali committenti, in particolare operatori telefonici e del mercato energetico, e, in secondo luogo, anche di operatori di call center con ridotto capitale sociale. Fra le contestazioni vi sono: utilizzo “spregiudicato” di ingenti basi di dati di utenze telefoniche, violazione delle regole di correttezza nella raccolta del consenso.
Il Garante della privacy si è, poi, soffermato sul tema delle banche dati pubbliche, con riferimento ai casi di accesso civico e al rapporto tra tutela dei dati personali e trasparenza. Tra le ipotesi esaminate, vi è quella della richiesta di accesso a dati identificativi di beneficiari di provvedimenti di concessione di sovvenzioni o sussidi, che è stata ritenuta inammissibile se dalla stessa si possa dedurre la condizione di disagio economico-sociale. Ciò in maniera conforme al divieto di diffusione di tali dati per fini di trasparenza.
Il Garante della privacy richiama, inoltre, i “potenziali” rischi per i diritti dei cittadini derivanti dalla gestione dei sistemi informativi, e più nello specifico dall’aumento della necessità di ricorrere allo scambio dei dati e all’interconnessione dei sistemi informativi pubblici, in mancanza di un’adeguata attenzione agli aspetti di sicurezza e protezione dei dati personali. Raccomanda il Garante che della tutela dei dati personali dei cittadini contro tali rischi i soggetti pubblici devono farsi carico, pur nella necessaria valorizzazione del patrimonio informativo pubblico.
Infine, il Garante ha concluso il suo discorso rinnovando l’“impossibilità” di dare seguito positivo alle richieste di sospendere l’esercizio della potestà sanzionatoria ai fini della verifica dell’applicazione del GDPR, in quanto “prospettiva non compatibile” con lo stesso Regolamento. Ciò, però, non esclude – come rimarcato dal Garante – che l’attività ispettiva e sanzionatoria sarà orientata, nel rispetto di criteri di gradualità, sui trattamenti più rilevanti quanto a dimensioni e concentrazione di dati, oltre che per rischiosità.