Il garante ha reso noto il piano ispettivo relativo al secondo semestre del 2019
Anche il periodo di conservazione dei dati ai raggi X
di Antonio Ciccia Messina
Il Garante della privacy passa al setaccio il periodo di conservazione dei dati e la regolarità di consensi e informative. È uno dei due filoni del piano ispettivo per il secondo semestre 2019 dell’autorità presieduta da Antonello Soro, di cui dà conto la deliberazione n. 166 del 12 settembre 2019. L’altro filone è quello degli accertamenti di carattere generali su ambiti specifici, tra i quali spiccano i trattamenti collegati alla fatturazione elettronica e i dati trasmessi dalle banche all’anagrafe dei conti tenuta dal Fisco. In totale sono programmate fino alla fine del 2019 cento ispezioni. Vanno oltre il numero programmato le ispezioni attività su segnalazioni e reclami e anche altre promosse d’ufficio dallo stesso Garante. Ma vediamo di approfondire i contenuti del piano ispettivo, che può preludere alla applicazione di sanzioni amministrative pesantissime (fino a 20 milioni di euro).
Controlli. I controlli riguarderanno soggetti, pubblici e privati, appartenenti a categorie omogenee. L’oggetto dei controllo è triplice: rispetto del consenso, quando è richiesto; rispetto dell’informativa; durata della conservazione dei dati. Questi adempimenti sono tra quelli che danno più da pensare a privati e pubblica amministrazione. Il consenso, innanzi tutto, presenta molti trabocchetti sia per la modalità di manifestazione sia per la sue effettiva necessità. Il consenso non può essere rappresentato da una casella già contrassegnata, quello per marketing non deve essere una condizione per poter ottenere un servizio principale, per i dati sensibili deve essere esplicito, per i minori deve essere formulato dai genitori e così via. Così come bisogna fare attenzione al legittimo interesse, che è un presupposto alternativo al consenso, ma che non si sa bene quando potervi ricorrere: cosicché abusare del legittimo interesse di norma significa aver violato l’obbligo di consenso. Un numero maggiore di insidie arriva dall’obbligo di rispettare un termine massimo di conservazione dei dati. È un adempimento volatile, non facile da applicare perché molto spesso non c’è un termine determinato dalla legge o da provvedimenti univoci; molto spesso aziende ed enti hanno timore a cancellare i dati e quasi sempre non ci sono regole interne sul termine di conservazione e, anzi, il titolare del trattamento nemmeno si pone il problema. Si ricorda, invece, che bisogna saper spiegare al Garante perché sono conservati dati per un certo periodo, soprattutto se vengono uste per ragioni di marketing diretto o per profilazione. Il rispetto dell’informativa significa verifica dell’esistenza degli atti di informazione e del loro contenuto. A quest’ultimo proposito bisogna tenere conto non solo degli articoli 13 e 14 del Regolamento Ue sulla privacy 2016/679, ma anche delle prescrizioni specifiche, come ad esempio quelle in materia di cookie mediante i siti internet.
Accertamenti. Il filone degli accertamenti è costituito da ispezioni relative profili di interesse generale per categorie di interessati. Tra questi si annoverano le banche e in particolare i flussi verso l’anagrafe dei conti, tenuta dal Fisco; gli intermediari del servizio la fatturazione elettronica; le società per attività di marketing; gli enti pubblici, con riferimento a banche dati di notevoli dimensioni; attività di profilazione e fidelizzazione; le società rientranti del Food Delivery; la sanità privata.
Altre ispezioni. L’altro filone ispettivo ulteriore (oltre il limite delle cento pratiche) è quello delle attività ispettive e di revisione d’ufficio o innescate da segnalazioni o reclami proposti dagli interessati.
© Riproduzione riservata
Fonte: