Deliberazione del 12 settembre 2019 – Attività ispettiva di iniziativa curata dall´Ufficio del Garante, anche per mezzo della Guardia di finanza, limitatamente al periodo luglio-dicembre 2019
Registro dei provvedimenti
n. 166 del 12 settembre 2019
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della dott.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale;
VISTO il Regolamento UE 2016/679 relativo alla protezione delle persone fisiche con riguardo ai trattamenti dei dati personali, nonché alla libera circolazione dei dati (di seguito “Regolamento”);
VISTO il Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (d.lgs. 30 giugno 2003, n. 196, come modificato dal d.lgs. 10 agosto 2018, n. 101, di seguito “Codice”);
VISTI gli articoli 157 e 158 del Codice e l’art. 58 del Regolamento concernente, in particolare, i poteri di indagine;
VISTI i regolamenti del Garante n. 1/2019 (Gazzetta Ufficiale n. 106 dell’8 maggio 2019 – Registro dei provvedimenti n. 98 del 4 aprile 2019) (doc. web. n. 9107633), concernente le procedure interne all’Autorità aventi rilevanza esterna, finalizzate allo svolgimento dei compiti demandati al Garante e n. 2/2019 (Gazzetta Ufficiale n. 107 del 9 maggio 2019 – Registro dei provvedimenti n. 99 del 4 aprile 2019) (doc. web. n. 9107640) – concernente l’individuazione dei termini e delle unità organizzative responsabili dei procedimenti amministrativi presso il Garante;
VISTO, in particolare, gli artt. 4, comma 1, lettera c), e 22 del citato Regolamento del Garante, n. 1/2019;
VISTO il protocollo di intesa con la Guardia di finanza del 10 marzo 2016;
VISTA la deliberazione del Garante n. 42 del 14 febbraio 2019 (doc. web. 9096661);
RITENUTA l’opportunità, anche al fine di stabilire le priorità in relazione alle risorse disponibili, di individuare princìpi e criteri che devono informare, con cadenza periodica, l’attività ispettiva di iniziativa, intendendo per tale l’accertamento in loco curato dal personale dell’Ufficio o delegato alla Guardia di finanza nei luoghi dove si effettuano i trattamenti di dati, o nei quali occorre effettuare rilevazioni comunque utili al medesimo controllo, nei confronti di soggetti non necessariamente individuati sulla base di reclami o segnalazioni;
RITENUTA l’opportunità di dare pubblicità alle scelte operate;
VISTA la documentazione in atti e, in particolare, la relazione del dirigente del Dipartimento attività ispettive del 16 luglio 2019 n. 8644/Dais;
TENUTO CONTO dei procedimenti ispettivi e sanzionatori in corso al momento dell’adozione della presente deliberazione nonché di quelli avviati sulla base della precedente programmazione e non ancora conclusi;
VISTE le osservazioni dell’Ufficio formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;
RELATORE il dott. Antonello Soro;
DELIBERA:
1. limitatamente al periodo luglio-dicembre 2019, l’attività ispettiva di iniziativa curata dall’Ufficio del Garante, anche per mezzo della Guardia di finanza, è indirizzata:
a) ad accertamenti in riferimento a profili di interesse generale per categorie di interessati nell’ambito di:
trattamenti dei dati personali effettuati mediante applicativi per la gestione delle segnalazioni di condotte illecite (c.d. whistleblowing);
trattamenti di dati personali effettuati da Istituti bancari, con particolare riferimento ai flussi verso l’anagrafe dei conti;
trattamenti dei dati personali effettuati da intermediari per la fatturazione elettronica;
trattamenti di dati personali effettuati da società per attività di marketing;
trattamenti di dati personali effettuati da Enti pubblici, con riferimento a banche dati di notevoli dimensioni;
trattamenti di dati personali effettuati da società con particolare riferimento all’attività di profilazione degli interessati che aderiscono a carte di fidelizzazione;
trattamenti di dati personali effettuati da società rientranti nel settore denominato “Food Delivery”;
trattamenti di dati personali in ambito sanitario effettuati da parte di società private.
b) a controlli nei confronti di soggetti, pubblici e privati, appartenenti a categorie omogenee sui presupposti di liceità del trattamento e alle condizioni per il consenso qualora il trattamento sia basato su tale presupposto, sul rispetto dell’obbligo dell’informativa nonché sulla durata della conservazione dei dati. Ciò, prestando anche specifica attenzione a profili sostanziali del trattamento che spiegano significativi effetti sugli interessati;
2. l’attività ispettiva programmata con deliberazione in data odierna riguarderà, relativamente alle lettere a) e b) di cui al punto 1), n. 100 accertamenti ispettivi di iniziativa effettuati anche a mezzo della Guardia di finanza.
Resta fermo che l’Ufficio potrà svolgere ulteriori attività ispettive e di revisione d’ufficio ovvero in relazione a segnalazioni o reclami proposti.
L’Ufficio informerà il Collegio sull’individuazione dei soggetti di cui ai punti a), e b) e riferirà, alla fine del semestre sull’andamento delle attività ispettive e delle attività istruttorie a carattere ispettivo, a qualunque titolo compiute, ai sensi di quanto previsto dall’art. 9, comma 4, lettera e) del Regolamento n. 1/2000 (come modificato dalla deliberazione n. 374 del 25 giugno 2015).
Roma, 12 settembre 2019 – Garante Privacy
