Il Garante per la protezione dei dati personali, con Deliberazione del 22 dicembre 2021, ha approvato gli indirizzi per l’attività ispettiva di iniziativa curata dall’Autorità, anche per mezzo della Guardia di Finanza, in relazione al periodo gennaio-giugno 2022.

Ai sensi del GDPR (Regolamento UE 2016/679 relativo alla protezione delle persone fisiche con riguardo ai trattamenti dei dati personali, nonché alla libera circolazione dei dati), nonché degli artt. 157 e 158 del Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196, come modificato dal d.lgs. 10 agosto 2018, n. 101), relativamente ai poteri di indagine dell’Autorità, il Garante ha ritenuto di stabilire le priorità in relazione alle risorse disponibili, di individuare nuovamente princìpi e criteri che devono informare, con cadenza periodica, l’attività ispettiva di iniziativa.

Il piano dell’attività ispettiva prevede, in sintesi, l’accertamento in relazione ai seguenti aspetti:

• trattamenti di dati personali nei confronti di “fornitori di database”;
• trattamento di dati personali svolti da piattaforme e siti web in ordine alla corretta gestione dei cookies;
• trattamento di dati personali nel settore della c.d. “videosorveglianza”;
• trattamento di dati da parte di siti di incontri; operatori dell’ambito della c.d. data monetization e da parte di produttori e distributori di smart toys;
• algoritmi e intelligenza artificiale in ambito pubblico e privato.

Infine, l’attività ispettiva si concentrerà anche sulla verifica l’osservanza delle disposizioni in materia di protezione dei dati personali, con particolare riferimento alla corretta individuazione dei titolari e dei responsabili del trattamento, anche in relazione all’utilizzo di app e altri applicativi informatici tra cui, in particolare,  i trattamenti di dati personali da parte di app installate sugli smartphone e altri device finalizzate alla verifica dei green pass.

Si esaminano, di seguito, i principali contenuti del piano.

1. Trattamenti di dati personali nei confronti di “fornitori di database”.

Si tratta di un aspetto sul quale il Garante è intervenuto, soprattutto di recente, al fine di sanzionare pratiche di telemarketing aggressivo.

In particolare, si ricordano anche decisioni recenti (cfr. Ordinanza ingiunzione nei confronti di Sky Italia S.r.l. – 16 settembre 2021), ove l’Autorità ha contestato alla Società di aver effettuato trattamenti di dati personali per finalità promozionali di propri prodotti e servizi, in assenza del prescritto consenso e di idonea informativa; non aver effettuato controlli sulle liste di contattabilità acquisite da soggetti terzi; e di non aver registrato correttamente le opposizioni.

2. Trattamento di dati personali svolti da piattaforme e siti web in ordine alla corretta gestione dei cookies.

Al riguardo, si rammenta che sono state pubblicate in data 10 giugno 2021 le Linee guida sui cookie e altri strumenti di tracciamento, attraverso le quali il Garante ha provveduto all’aggiornamento delle indicazioni sull’utilizzo dei cookie contenute nel provvedimento 229 del maggio 2014.

Le nuove Linee Guida, il cui termine di adeguamento è scaduto lo scorso 6 gennaio, hanno l’obiettivo di fornire indicazioni chiare e operative per consentire ai titolari del trattamento la piena conformità alla normativa vigente, al fine di porre fine alle pratiche ingannevoli volte all’acquisizione di un gran numero di consensi da parte degli utenti contro la loro libera scelta a causa di una progettazione del banner non rispettosa dei principi del GDPR come quelli di correttezza e trasparenza.

3. Trattamento di dati personali nel settore della c.d. “videosorveglianza”.

Al fine di conformarsi pienamente alla normativa vigente ed alle indicazioni dell’Autorità, si evidenzia che l’European Data Protection Board ha adottato le Linee guida 3/2019 sul trattamento di dati personali attraverso dispositivi video.

Il Garante, d’altro canto, ha approvato in data 1 dicembre 2020 le FAQ in materia di videosorveglianza, dove si richiamano le suddette Linee Guida. Si 

Tale documento fornisce utili chiarimenti in merito a: regole da rispettare, responsabilizzazione, informativa agli interessati, tempi di conservazione, valutazione di impatto preventiva, nonché specificazioni sulla tipologia di luoghi oggetto di videosorveglianza.

4. Titolari e responsabili del trattamento in relazione all’utilizzo di app e acquisizione delle informazioni da parte di app installate sugli smartphone

Rispetto a tale ambito di accertamento, si riporta che l’Autorità, con il supporto della Guardia di Finanza, ha avviato un’istruttoria (comunicato stampa del 29 settembre 2021), relativa alle app “rubadati”, e sul mercato dei dati.

In particolare, il Garante riportava nel comunicato stampa come molte app, tra le autorizzazioni di accesso che richiedono al momento del download, prevedano anche l’utilizzazione del microfono. Tale attivazione potrebbe essere collegata ad una attività di captazione di informazioni rivendute poi a società per fare proposte commerciali.