Ogni anno, due volte all’anno, il Garante per la Protezione dei Dati Personali pubblica il suo piano ispettivo, delineando gli ambiti di intervento su cui si concentrerà per effettuare le proprie ispezioni. Nel primo piano ispettivo del 2023, pubblicato il 26 gennaio, il Garante ha messo in focus i gestori dell’identità digitale e i fornitori di servizi che utilizzano SPID e CIE. Si concentrerà inoltre sulla corretta applicazione delle linee guida relative ai cookie, sul telemarketing e sulle tessere di fidelizzazione. Nel secondo piano, pubblicato il 3 agosto, l’Autorità ha esteso i settori d’intervento, valutando non solo i gestori di identità digitale e i cookie, ma includendo anche il settore energetico, le sue attività di telemarketing, i trattamenti effettuati in ambito statistico e scientifico (con un focus sulla pseudonimizzazione) e quelli relativi ai dati biometrici, anche nell’ambito del rapporto di lavoro. In entrambi i piani sono previsti ulteriori accertamenti nei confronti di soggetti pubblici e privati.
Sono particolarmente interessanti gli accertamenti che riguardano la pseudonimizzazione e i trattamenti che coinvolgono i dati biometrici. A differenza del 2022, non sono previsti accertamenti riguardanti i trasferimenti al di fuori dell’UE. Tuttavia, è da notare che solo il 10 luglio 2023 la Commissione Europea ha adottato il Data Privacy Framework. Questa è la tanto attesa decisione di adeguatezza relativa al trasferimento dei dati dall’UE agli USA, che stabilisce essenzialmente che gli Stati Uniti offrono un livello adeguato di protezione dei dati europei, che quindi possono essere trasferiti oltreoceano a organizzazioni incluse in una lista specifica. Nonostante l’European Data Protection Board abbia espresso il suo parere sulla decisione, è previsto un riesame ogni quattro anni.
L’attività del Garante non si limita solo alle ispezioni. Dal Rapporto annuale del 2022, pubblicato il 6 luglio 2023, emergono sanzioni pecuniarie per un totale di circa 9,5 milioni di euro. Per il 2023, al 31 agosto, le sanzioni ammontano a oltre 13 milioni di euro, incluse le maxi multe di 7,631 milioni di euro a TIM S.p.A. e quella di 300 mila euro a La Rinascente S.p.A. Questi numeri, che possono sembrare enormi, rappresentano nel primo caso l’1,5% e nel secondo lo 0,066% del fatturato delle rispettive aziende. Tra i sanzionati, non ci sono solo aziende private: ASL, Comuni e addirittura l’Associazione Nazionale Magistrati, sanzionata a gennaio per 5.000 euro, figurano tra gli enti puniti.
Tutto ciò evidenzia che, sebbene vi sia ancora molto da fare, il numero di controlli e di segnalazioni è in crescita esponenziale. Gli argomenti da studiare e analizzare sono vari e le sfaccettature relative alla protezione dei dati personali sono incredibilmente numerose. Pertanto, è indispensabile non solo attendere che il Garante svolga il proprio ruolo con i mezzi a sua disposizione, ma anche e soprattutto lanciare una campagna di sensibilizzazione su queste tematiche rivolta al grande pubblico, oltre che limitarsi alla semplice imposizione di sanzioni.
