Ispezioni Garante privacy: il piano del secondo semestre 2022

In realtà, le attività di verifica vengono svolte regolarmente e, sempre più spesso, sono effettuate in modalità online, tramite esame diretto dei siti web (senza per forza ispezioni in loco).

Con la Deliberazione del 21 luglio 2022, il Garante per la protezione dei dati personali ha approvato il piano ispettivo del secondo semestre 2022 (luglio-dicembre), indicando su cosa si concentreranno gli accertamenti in tale periodo. Vediamo, di seguito, maggiori dettagli.

Ispezioni Garante privacy: ambiti di riferimento per il secondo semestre 2022

L'attività ispettiva relativa al periodo luglio-dicembre 2022, come specificato nella Deliberazione sopra citata, sarà indirizzata "in via prioritaria" ad accertamenti che riguardano soprattutto tre ambiti:

• trattamenti di dati personali effettuati da gestori di identità digitale e da fornitori nell'ambito di app e servizi online offerti dalle PA;
• corretta applicazione delle indicazioni in materia di cookies e altri strumenti di tracciamento, secondo le linee guida di riferimento;
• trasferimento di dati all’estero sulla base degli Analytics di Google, secondo quanto disposto con il provvedimento del 9 giugno 2022.

Altri accertamenti verranno effettuati nei confronti di soggetti pubblici e privati, per verificare l'osservanza delle disposizioni in materia di protezione dei dati personali (incluse le istruttorie riguardanti reclami e segnalazioni proposti all'Autorità).

Infine, verranno completate le attività ispettive iniziate nel primo semestre del 2022, in particolare per quanto riguarda:

• acquisizione di informazioni da parte di app installate sugli smartphone;
• trattamenti di dati connessi all’utilizzo di strumenti di verifica della certificazione verde (green pass);
• attività svolta dai siti di incontro;
• trattamenti connessi all’uso di tecnologie e metodologie di analisi dei dati basate sull’intelligenza artificiale.

Piano ispettivo Garante privacy: cookies e analytics di Google

L’attività ispettiva, curata dall'Ufficio del Garante anche per mezzo della Guardia di finanza, riguarderà 45 "accertamenti ispettivi di iniziativa" nel semestre luglio-dicembre 2022.

Tuttavia, come specificato nella Deliberazione, potranno comunque essere svolte ulteriori ispezioni d'ufficio o in relazione a segnalazioni o reclami.

Tra gli ambiti sopra menzionati, quelli relativi ai cookies e agli Analytics di Google meritano un approfondimento a parte. Vediamo, quindi, di capire meglio di cosa si tratta.

Linee guida su cookies e altri strumenti di tracciamento

Con la pubblicazione in Gazzetta Ufficiale del 9 luglio 2021, il Garante ha approvato le nuove linee guida su cookies e altri strumenti di tracciamento, aggiornando quelle risalenti al 2014.

Una serie di modifiche necessarie, sia per la diffusione delle nuove tecnologie avuta negli ultimi anni (con conseguente evoluzione comportamentale degli utenti online), sia per le novità normative intervenute nel frattempo. Oltre che per l'azione di monitoraggio dell'Autorità.

Di fatto, le nuove linee guida hanno l'obiettivo di rafforzare il potere decisionale degli utenti in tema di utilizzo dei propri dati personali quando navigano online.

Tra gli elementi chiave presenti, vanno dunque menzionati:

• promozione dell'accountability;
• offerta agli utenti di informative chiare e trasparenti;
• rafforzamento del meccanismo del consenso;
• rispetto dei principi di privacy by design e by default.

Nelle linee guida viene suggerita anche l'adozione di un modello di riferimento per i cookie dei siti web, i cui banner devono avere specifiche caratteristiche.

Nel dettaglio, qui trovi un articolo dedicato proprio a questo argomento.

 Trasferimenti di dati personali all’estero con gli Analytics di Google

In questo caso, come stabilito dal Garante, i siti web che utilizzano il servizio Google Analytics senza le garanzie previste dal Regolamento UE, violano la normativa sulla protezione dei dati. Questo, perché vengono trasferiti i dati degli utenti negli Stati Uniti, Paese ritenuto privo di un adeguato livello di protezione.

Da un'indagine del Garante stesso, in seguito a una serie di reclami, è emerso infatti che i gestori dei siti che usano GA raccolgono (tramite cookie) informazioni su:

• interazioni degli utenti con questi siti;
• singole pagine visitate;
• servizi proposti.

Ad esempio, tra i diversi dati raccolti, vi sono indirizzo IP del dispositivo dell’utente ma anche informazioni riguardanti browser, sistema operativo, risoluzione dello schermo e lingua selezionata. Oppure data e ora della visita al sito web. Tutte informazioni che sono risultate oggetto di trasferimento verso gli Stati Uniti, dove - per il Garante - le misure adottate da Google non garantiscono attualmente un adeguato livello di protezione dei dati personali degli utenti.

Oltre a dichiarare l'illiceità del trattamento, è stato anche ribadito che l'indirizzo IP rappresenta un dato personale e, anche qualora fosse troncato, non diverrebbe anonimo (in quanto l'azienda di Mountain View sarebbe comunque in grado di arricchirlo con altri dati di cui è in possesso).

Per approfondire, qui puoi leggere il comunicato stampa sullo stop all’uso degli Analytics di Google.

Attività ispettive Garante privacy: la tua azienda sta rispettando le normative?

Tutelare i dati personali di clienti, fornitori e collaboratori è importante non solo per rispettare la loro privacy – secondo quanto previsto dal GDPR – ma anche per evitare di incappare in pesanti sanzioni per la tua azienda.

Le ispezioni del Garante vengono svolte continuamente: sia su segnalazione degli utenti che d’ufficio. Ecco perché è importante mettere in sicurezza la tua attività anche dal punto di vista della tutela della privacy.

Vuoi saperne di più e capire se la tua impresa sta rispettando le normative di riferimento? Contattaci senza impegno per richiedere la consulenza di un nostro esperto.

 

Scritto da: Chiara Merci Consulente e formatrice esperta in igiene alimentare, sistemi di gestione e privacy, cantante e amante di musica e viaggi.