Registro dei provvedimenti

n. 23 del 6 febbraio 2020

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della dott.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale;

VISTO il Regolamento UE 2016/679 relativo alla protezione delle persone fisiche con riguardo ai trattamenti dei dati personali, nonché alla libera circolazione dei dati (di seguito “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (d.lgs. 30 giugno 2003, n. 196, come modificato dal d.lgs. 10 agosto 2018, n. 101, di seguito “Codice”);

VISTI gli articoli 157 e 158 del Codice e l’art. 58 del Regolamento concernente, in particolare, i poteri di indagine;

VISTI i regolamenti del Garante n. 1/2019 (Gazzetta Ufficiale n. 106 dell’8 maggio 2019 – Registro dei provvedimenti n. 98 del 4 aprile 2019) (doc. web. n. 9107633), concernente le procedure interne all’Autorità aventi rilevanza esterna, finalizzate allo svolgimento dei compiti demandati al Garante e n. 2/2019 (Gazzetta Ufficiale n. 107 del 9 maggio 2019 – Registro dei provvedimenti n. 99 del 4 aprile 2019) (doc. web. n. 9107640) – concernente l’individuazione dei termini e delle unità organizzative responsabili dei procedimenti amministrativi presso il Garante;

VISTO, in particolare, gli artt. 4, comma 1, lettera c), e 22 del citato Regolamento del Garante, n. 1/2019;

VISTO il protocollo di intesa con la Guardia di finanza del 10 marzo 2016;

VISTA la deliberazione del Garante n. 166 del 12 settembre 2019;

RITENUTA l’opportunità, anche al fine di stabilire le priorità in relazione alle risorse disponibili, di individuare princìpi e criteri che devono informare, con cadenza periodica, l’attività ispettiva di iniziativa, intendendo per tale l’accertamento in loco curato dal personale dell'Ufficio o delegato alla Guardia di finanza nei luoghi dove si effettuano i trattamenti di dati, o nei quali occorre effettuare rilevazioni comunque utili al medesimo controllo, nei confronti di soggetti non necessariamente individuati sulla base di reclami o segnalazioni;

RITENUTA l’opportunità di dare pubblicità alle scelte operate;

VISTA la documentazione in atti e, in particolare, la relazione del dirigente del Dipartimento attività ispettive del 27 gennaio 2020, prot. 3369/140317;

TENUTO CONTO dei procedimenti ispettivi e sanzionatori in corso al momento dell’adozione della presente deliberazione nonché di quelli avviati sulla base della precedente programmazione e non ancora conclusi;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il dott. Antonello Soro;

DELIBERA:

1. limitatamente al periodo gennaio-giugno 2020, l’attività ispettiva di iniziativa curata dall’Ufficio del Garante, anche per mezzo della Guardia di finanza, è indirizzata:

a) ad accertamenti in riferimento a profili di interesse generale per categorie di interessati nell’ambito di:

trattamenti di dati personali effettuati da Enti pubblici relativamente alla c.d. medicina di iniziativa;

trattamenti di dati relativi alla salute effettuati da società multinazionali operanti nel settore farmaceutico e sanitario;

trattamento di dati personali effettuati nel quadro dei servizi bancari on line;

trattamenti dei dati personali effettuati mediante applicativi per la gestione delle segnalazioni di condotte illecite (c.d. whistleblowing);

trattamenti dei dati personali effettuati da intermediari per la fatturazione elettronica;

trattamenti di dati personali effettuati da Enti pubblici in tema di rilascio di certificati anagrafici e di stato civile, attraverso l’accesso ad ANPR;

trattamenti di dati personali effettuati da società private ed Enti pubblici per la gestione e la registrazione delle telefonate nell’ambito del servizio di call center;

trattamenti di dati personali effettuati da società per attività di marketing;

trattamenti di dati personali effettuati da società con particolare riferimento all’attività di profilazione degli interessati che aderiscono a carte di fidelizzazione;

trattamenti di dati personali effettuati da società rientranti nel settore denominato “Food Delivery”;

trattamento di dati personali effettuati da società private in tema di banche reputazionali;

data breach.

b) a controlli nei confronti di soggetti, pubblici e privati, appartenenti a categorie omogenee sui presupposti di liceità del trattamento e alle condizioni per il consenso qualora il trattamento sia basato su tale presupposto, sul rispetto dell’obbligo dell’informativa nonché sulla durata della conservazione dei dati. Ciò, prestando anche specifica attenzione a profili sostanziali del trattamento che spiegano significativi effetti sugli interessati;

2. l’attività ispettiva programmata con deliberazione in data odierna riguarderà, relativamente alle lettere a) e b) di cui al punto 1), n. 80 accertamenti ispettivi di iniziativa effettuati anche a mezzo della Guardia di finanza.

Resta fermo che l’Ufficio potrà svolgere ulteriori attività ispettive e di revisione d’ufficio ovvero in relazione a segnalazioni o reclami proposti.

L’Ufficio informerà il Collegio sull’individuazione dei soggetti di cui ai punti a) e b)  e riferirà, alla fine del semestre, sull’andamento delle attività ispettive e delle attività istruttorie a carattere ispettivo, a qualunque titolo compiute, ai sensi di quanto previsto dall’art. 9, comma 4, lettera e) del Regolamento n. 1/2000 (come modificato dalla deliberazione n. 374 del 25 giugno 2015).

Roma, 6 febbraio 2020

IL PRESIDENTE
Soro

IL RELATORE
Soro

IL SEGRETARIO GENERALE
Busia