Tempo di lettura 3 minuti

Il Garante per la Privacy controlla..e sanziona!

Nel 2012 il Garante ha compiuto 395 ispezioni, con quasi 4 milioni di euro di sanzioni, vale a dire un aumento del 22% rispetto all’ anno precedente. Il messaggio è forte e chiaro: il Garante controlla e non fa sconti a nessuno. L’ anno scorso, sotto la lente di ingrandimento si sono ritrovati: Telemarketing, Uso GPS nel rapporto di lavoro, Crediti al consumo e “Centrali rischi”, Profilazione dei clienti da parte delle aziende e mobile payment.

Gli ambiti più sanzionati, invece, sono stati: Omessa informativa, Trattamento illecito e conservazione eccessiva di dati, Mancata Notificazione al Garante.

Cosa succederà nel 2013? Sono stati già pianificati 200 accertamenti nel primo semestre, in collaborazione con il Nucleo Speciale Privacy della Guardia di Finanza, durante i quali verranno verificate l’effettiva adozione di misura di sicurezza a tutela di dati personali, l’acquisizione di consenso e il rispetto dell’obbligo di notificazione al Garante, nei casi previsti dalla legge.

Il piano ispettivo varato per il primo semestre 2013 punta su settori di particolare rilevanza: le banche dati pubbliche, in particolare di enti previdenziali e dell’amministrazione finanziaria, l’attività di telemarketing da parte dei call center operanti all’estero, il trattamento dei dati per il fascicolo sanitario elettronico, i nuovi strumenti di pagamento gestiti dalle compagnie telefoniche (mobile payment), le centrali rischi.

Cosa fare allora? Ecco alcuni piccoli consigli:

Assicuratevi che la vostra Informativa Privacy sia accessibile a tutte le persone di cui dovete trattare i dati personali: sfruttate bacheche e siti internet.

Dite sempre agli interessati al trattamento a chi comunicherete i loro dati.

Verificate di avere il consenso al trattamento dei dati in tutti i casi previsti dalla legge (artt. 23 e 24 del D.Lgs 196/03).

Ricordatevi di incaricare al trattamento dei dati i vostri collaboratori/dipendenti, specificando a che tipo di dati hanno accesso e per quali finalità. (artt. 30 e 34 delD.Lgs 196/03 )

Definite precise regole di condotta per la gestione della banche dati: se qualcuno sbaglia non potrà dirvi che non lo avevate informato.

Nella Gestione della Privacy premiate le misure preventive, piuttosto che quelle di controllo: quest’ultimo, infatti, si esercita spesso a distanza, mentre la legge lo vieta (si veda art. 4 della legge 20 maggio 1970, n. 300)

Ricordate di: 1) incaricare al trattamento dei dati i vostri amministratori di sistema (interni ed esterni); 2) verificare con loro che le misure di sicurezza stabilite siano sufficienti e proporzionate ai rischi di distruzione dei dati (fare qualche test sull’effettivo sistema di Disaster Recovery non guasta mai!)

Controllate che i vostri ambiti di trattamento non rientrino fra quelli per cui è richiesta l’ autorizzazione (artt. 40 e 41 del D.Lgs.196/03) o notificazione al Garante (art.37 del D.Lgs.196/03)

Sensibilizzate i vostri fornitori al rispetto della Privacy: cedere dei dati personali a terzi non significa cedere la Titolarità del Trattamento.

Definite i tempi di conservazione dei dati personali nel rispetto dei termini di legge; ciò vi aiuterà a non eccedere rispetto alle finalità per cui sono stati raccolti (art. 11 del D.Lgs.196/03)