Nel mirino Fatture Elettroniche, Call center, Data Breach e rapporti tra titolare, responsabili e sub-responsabili: le aziende sono avvisate!
Il Garante ha diffuso, con propria newsletter, il nuovo piano ispezioni approvato il primo ottobre scorso.
L’attività di accertamento si svolgerà per mezzo della Guardia di Finanza sia a seguito di segnalazioni che con accertamenti autonomi. Si concentrerà soprattutto sulla presenza e accuratezza di policy e procedure contro i data breach, la corretta gestione dei rapporti tra data controller (Titolare del trattamento) e data processor (Responsabile del trattamento).
Su cosa si concentreranno i controlli
Non si tratta di un cambio di rotta rispetto alle linee che hanno guidato il collegio presieduto da Antonello Soro, quanto piuttosto di un rafforzamento, in continuità con l’attività precedente, con la introduzione di accertamenti nei confronti dei “data breach”.
Questa è peraltro una risoluzione che deriva dai risultati di quanto il Garante ha potuto osservare sull’atteggiamento degli operatori del mercato, pubblici e privati, raccogliendo informazioni e feedback sulle prassi e le modalità seguite da titolari, responsabili, sub responsabili e Data Protection Officer nella gestione di tali eventi di violazione, definiti oramai “patologici”.
Il campione di osservazione, del resto, ha raggiunto nel tempo numeri di tutto riguardo: secondo la Relazione annuale diffusa qualche mese fa, nel corso del 2019 sono stati ben 1443 i data breach notificati, numero che va sommato alle 650 notifiche pervenute all’Autorità dal 1° marzo al 31 dicembre 2018 (Relazione annuale 2018) e a tutte quelle sopraggiunte nel corrente anno.
I controlli si concentreranno anche sull’adozione delle misure di sicurezza da parte di pubbliche amministrazioni e di imprese che trattano particolari categorie di dati personali; sul rispetto delle norme sulla informativa e sul consenso; sui tempi di conservazione dei dati.
Conclusioni
Tutto ciò non deve ovviamente sorprendere. L’attività di accertamento non poteva rimanere ancora a lungo sorda alle indicazioni del Garante soprattutto in considerazione dell’architettura complessiva di attori e obblighi su cui il Regolamento europeo ha costruito l’istituto della violazione di dati personali a tutela dei diritti degli interessati, e dopo oltre due anni di esperienza diffusa.
Le aziende devono farsi trovare pronte.
Se questo articolo ti è piaciuto o pensi che possa esserti utile, condividilo sui tuoi social preferiti ed iscriviti alla nostra newsletter: è gratis e puoi cancellarti quando vuoi!
