Privacy: attenti ai controlli!

NEWSLETTER N. 384 del 25 febbraio 2014

Per chi pensa che la privacy ed in particolare il DPS (documento programmatico per la sicurezza) sia oramai solo lettera morta e non serva più a niente è bene che si ricreda.

Le ispezioni sul trattamento dei dati effettuato da aziende e professionisti,con conseguenze non sempre piacevoli, sono sempre più frequenti ed effettuate da soggetti a volte inaspettati. Tralasciando in questa sede i casi più gravi di commissione di reati informatici, oggi, infatti, non è più un caso di scuola pensare di essere oggetto di ispezione del Garante.

Recentemente, per comprendere la portata della problematica, il Garante ha reso pubblici i dati sulle ispezioni del 2013,che contengono elementi interessanti.

I dati mostrano un forte trend crescente di sanzioni verso aziende ed enti, nel 2013 sono state effettuate 411 e le somme riscosse dall'erario da parte di soggetti pubblici e privati sono state di oltre 4 milioni di euro. In forte crescita le segnalazioni all'Autorità giudiziaria per violazioni penali che sono state 71 (con una crescita del 27% rispetto al 2012).

I 411 accertamenti (+4% rispetto al 2012), effettuati anche mediante il contributo delle Unità Speciali della Guardia di finanza - Nucleo speciale privacy, hanno riguardato settori sui quali il Garante concentra da tempo una particolare attenzione:

-  call center telefonate promozionali indesiderate,
-  banche dati del fisco,
-  credito al consumo e "centrali rischi",
-  sistema informativo dell'Inps,
-  sanità.

Ma si sono estesi anche alle reti telematiche con ispezioni sull'uso dei sistemi di localizzazione satellitare (gps) nell'ambito del rapporto di lavoro, sui nuovi strumenti di pagamento elettronico gestiti dalle compagnie telefoniche (mobile payment), sulle violazioni delle banche dati dei gestori tlc (data breaches).

Significativo il numero di procedimenti sanzionatori avviati: 850, segnando un aumento rispetto al 2012 del 47%.

Veniamo ai comportamenti maggiormente sanzionati.
Come gli anni scorsi le sanzioni hanno riguardato innanzitutto la omessa o inidonea informativa (476) e il trattamento illecito dei dati (277), legato principalmente al telemarketing e all'uso dei dati personali senza consenso. Ma i procedimenti avviati sono relativi anche alla mancata adozione di misure di sicurezza, alle violazioni connesse alla conservazione dei dati di traffico telefonico, all'omessa notificazione al Garante, all'inosservanza dei provvedimenti dell'Autorità. Si segnalano anche provvedimenti aventi ad oggetto le violazioni legate al controllo a distanza dei lavoratori.

Il Garante ha varato anche il piano ispettivo per il primo semestre 2014.

Il piano prevede la prosecuzione di controlli avviati lo scorso anno:
grandi banche dati pubbliche, in particolare di enti previdenziali e dell'amministrazione finanziaria;
gestione delle reti pubbliche di accesso a Internet in wi-fi;
marketing telefonico;
mobile payment.

Inoltre, il piano prevede l'avvio di ispezioni in ambiti particolarmente significativi per numero o delicatezza dei dati trattati, come i call center delocalizzati in Paesi extra Ue, i sistemi di profilazione dei consumatori, le aziende farmaceutiche, i centri di assistenza tecnica e recupero dati. Accertamenti verranno svolti anche sul rispetto dei nuovi obblighi da parte di società telefoniche e Internet provider in caso di violazione ai loro data base a causa di attacchi informatici o eventi avversi (data breaches).

Circa 200 gli accertamenti ispettivi programmati, che verranno effettuati anche in collaborazione con il Nucleo speciale privacy della Guardia di finanza. A questi accertamenti si affiancheranno quelli che si renderanno necessari in ordine a segnalazioni e reclami presentati e le altre verifiche per accertare il rispetto dei principali adempimenti previsti dalla normativa.

E se le ispezioni del Garante assieme alla Guardia di Finanzia non fossero sufficienti in molti settori specifici, oggi, la gestione dei dati viene controllata da altre istituzioni.
Per i commercialisti, infatti, l’Agenzia delle Entrate effettua controlli sulla tenuta degli archivi oltre che sulle modalità di trattamento dati, per le strutture sanitarie ci pensano le AUSL a verificarne la congruità ma per le aziende sempre più spesso anche gli Organismi di Vigilanza ai sensi del.Lgs 231/2001 non tralasciano di verificare anche tale aspetto.