La pubblicazione del nuovo piano di ispezioni del Garante privacy, relativo al secondo semestre del 2025, è stata in parte anticipata dalla relazione del 2024, offrendo spunti utili per le organizzazioni che operano negli ambiti posti sotto la lente dell’autorità di controllo.
Indice degli argomenti
Il quadro generale del piano ispettivo 2025
L’Autorità Garante per la protezione dei dati personali ha deliberato[1] in data 4 agosto 2025 il piano dell’attività ispettiva da svolgere nel secondo semestre del 2025, prevedendo almeno 35 accertamenti ispettivi di iniziativa effettuati anche a mezzo del Nucleo speciale tutela privacy e frodi tecnologiche della Guardia di finanza negli ambiti individuati all’interno del provvedimento.
Viene confermata l’attività di informazione mensile nei confronti del Collegio sull’andamento delle ispezioni, in modo tale da poter valutare l’efficacia delle stesse.
Le anticipazioni dalla relazione 2024
All’interno della relazione sull’attività svolta nel 2024 presentata il 25 luglio[2], il Garante Privacy sembrava aver anticipato alcuni ambiti dell’attività ispettiva del 2025, e segnatamente:
- l’attività della task force interdipartimentale per l’innalzamento della sicurezza delle banche dati pubbliche
- la verifica di cookie e altri strumenti di tracciamento, che “proseguirà anche nel corso del 2025, rappresentando una delle linee di priorità fissate dal Garante nella programmazione dei propri interventi”
- il settore bancario, con focus sulla sicurezza e l’implementazione dei sistemi di alert e delle modalità e di controllo degli accessi del personale, nonché su data breach e rispetto delle comunicazioni inviate al Garante e agli interessati.
È interessante notare però che il piano ispettivo pubblicato non ha confermato questi elementi per il secondo semestre del 2025.
Non compare ad esempio la verifica dei cookie e degli altri strumenti di tracciamento, sebbene ovviamente, a fronte di segnalazioni o reclami, l’Autorità di controllo potrà comunque attivarsi.
Per quanto riguarda il settore bancario, invece, le ispezioni saranno concentrate sui trattamenti svolti attraverso forme di riconoscimento biometrico ai fini di identificazione dei clienti dei servizi, più che sugli tratteggiati nella predetta Relazione.
Conferme e continuità rispetto al passato
Trova invece piena conferma, rispetto alle anticipazioni della relazione 2024, l’attività della task force interdipartimentale per gli accertamenti relativi a data breach che hanno coinvolto “banche dati pubbliche di particolare rilievo e delicatezza”.
Resta punto fisso, sotto la lente del Garante, il telemarketing illegale.
Il piano si rivolge in modo specifico al settore energetico, andando così ad ampliare l’ambito precedentemente preso in considerazione in relazione all’attivazione dei contratti non richiesti. Si deve notare a riguardo che le violazioni riconducibili al telemarketing sono state censurate all’interno dei provvedimenti sanzionatori tenendo conto del fattore aggravante di cui all’art. 83 par. 2 lett. a) GDPR, proprio per la presenza di numerose indicazioni fornite dall’autorità di controllo in questo ambito per risolvere elementi di criticità e mitigare gli impatti negativi nei confronti degli interessati.
I nuovi ambiti sotto la lente del Garante
Le attività di ispezione sui trattamenti dei dati personali contenuti nel dossier sanitario, compaiono nel nuovo piano facendo seguito, perònon già al precedente piano ispettivo, bensì ai riscontri emersi nel corso dell’attività ispettiva svolta nel 2024 che ha coinvolto questo ambito[3] concentrandosi sugli aspetti di redazione ed implementazione del dossier.
Le ulteriori novità?
- trattamenti nell’ambito dei servizi di trasporto pubblico locale,
- trattamenti in ambito assicurativo per fini di preventivazione
- trattamenti in ambito statistico con specifico riferimento alla tenuta dei registri di patologia.
Particolare attenzione verrà infine posta nei confronti degli strumenti per l’acquisizione e la gestione delle segnalazioni di whistleblowing, con verifiche sull’impiego degli applicativi maggiormente diffusi.
La pubblicazione (e lo studio) dei Piani ispettivi come ausilio ad indirizzare in modo più efficace la revisione e la costruzione di processi “accountable” e conformi.
L’importanza strategica della pianificazione preventiva
La capacità di garantire l’accountabilty e, soprattutto, di progettare i trattamenti in chiave di conformità, resta a parere di chi scrive un fattore determinante per le organizzazioni. Permette, infatti, di prevenire costi che non è possibile “mettere a budget” ma soprattutto per essere in grado di adeguarsi, nel tempo, alle indicazioni che possono emergere dalle novità introdotte dalla norma o dalla sua applicazione da parte delle Autorità di controllo.
Considerate le norme cogenti in materia di sicurezza, le nuove minacce e uno stato dell’arte in evoluzione, un comportamento proattivo da parte delle organizzazioni e dei professionisti è quanto richiesto non solo dalla portata prescrittiva della norma bensì anche dalle esigenze di tutela e protezione dei diritti fondamentali degli interessati. Il tutto, a conferma che un impiego sostenibile dei dati personali è quanto viene promosso dal GDPR nelle proprie coordinate fondamentali, poi declinabili in differenti modalità di adempimento.
L’approccio proattivo dell’autorità di controllo
Gli ambiti di intervento individuati dal piano ispettivo esprimono un approccio altrettanto proattivo da parte del Garante privacy nel prevedere ambiti di maggiore interesse sia per alcuni indizi emersi nel corso di precedenti ispezioni meritevoli di approfondimento che per i mutamenti di contesto rilevati.
Note
[1] https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/10165144
[2] https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/10150195
[3] Punto 19.1 della Relazione annuale 2024.
