NEWS

 

Pubblicato il piano delle attività ispettive del Garante Privacy per il primo semestre 2025

Il nuovo piano ispettivo per il primo semestre 2025 pubblicato dal Garante (doc web 10100360) presenta vari motivi di interesse.

Oltre a quello generale di richiamare l’attenzione di tutti i titolari del trattamento (e di tutti gli altri attori dell’ecosistema privacy, a partire dai responsabili del trattamento) su quelli che sono i temi su cui il Garante ha ritenuto di porre l’attenzione (un piano di audit fra le sue determinanti ha l’analisi del rischio, fra cui, in ambito privacy, la triade data breach – reclami – segnalazioni) in questa occasione se ne coglie uno in particolare: la sicurezza e l’utilizzo delle banche dati.

Infatti, la tematica delle banche dati appare in tre degli ambiti di indagine selezionati e con riguardo a tre diverse dimensioni:

1. verifica dei sistemi di sicurezza e profili di accessibilità delle banche dati stesse, mediante accertamenti relativi ai data breach che hanno coinvolto banche dati pubbliche di particolare rilievo e sensibilità;

2. misure adottate per rilevare tempestivamente e/o prevenire le violazioni di sicurezza e connesso assolvimento dell’obbligo di segnalazione delle violazioni, con riguardo alle banche dati degli istituti di credito;

3. utilizzo illegittimo di indirizzari e banche dati, con riguardo trattamento di dati effettuato da imprese che gestiscono call center e servizi di email marketing

Tale focus rafforza l’attenzione delle Autorità di settore alla questione della sicurezza dei dati, questione impostasi al dibattito per vari motivi fra cui: a) la progressiva definizione del quadro normativo UE (ad es. NIS2, DORA) che spinge ad un rafforzamento della sicurezza IT; b) episodi anche preoccupanti di violazione di base dati in ambito pubblico e privato; c) la necessità di comprendere come la protezione delle informazioni sensibili non è solo un obbligo normativo, ma anche un fattore cruciale per la fiducia degli utenti e la reputazione delle organizzazioni.

In argomento va ricordato anche l’input dell’Agenzia per la Cybersicurezza Nazionale rappresentato dalle Linee Guida per il rafforzamento della protezione delle banche dati rispetto al rischio di utilizzo improprio, che rappresenta un riferimento base delle misure per contrastare accessi abusivi e minacce, sia interne che esterne, soffermandosi su alcuni step centrali:

- Controllo degli accessi
- Applicazioni di principi e buone pratiche di sviluppo sicuro dei sistemi e delle applicazioni
- Gestione del ciclo di vita dei sistemi e delle applicazioni
- Gestione rischi e sicurezza della catena di approvvigionamento
- Monitoraggio e auditing
- Formazione del personale.

Tale documento, corredato da un elenco di misure di sicurezza, pur nella sua semplicità (ed è un merito e non una critica), costituisce, per ogni manager, una lettura minima essenziale per la consapevolezza dei rischi e l’interazione con le funzioni tecniche.

Alla luce di questi elementi, il piano ispettivo del Garante per il primo semestre 2025 si configura come un’iniziativa strategica per garantire un livello più elevato di protezione dei dati personali.

Ma la pubblicazione del Piano ispettivo oltre a incrementare la trasparenza sull’attività del Garante ha in concreto anche valore pedagogico incentivando - in un’ottica subliminale, nudging - la conformità alle normative vigenti e la diffusione di buone pratiche in ambito di sicurezza informatica.

Questo approccio riflette l'importanza crescente della sicurezza delle banche dati nell'ambiente digitale contemporaneo.

Nel rimandare per una più compiuta analisi alla lettura del citato Piano, si evidenzia che gli altri ambiti individuati dal Garante sono: progetti del Programma Statistico Nazionale che prevedano l’utilizzo di big data e dati sintetici; attivazione di contratti non richiesti nel settore energetico; utilizzo di dati biometrici per gli esami della patente di guida presso la Motorizzazione civile; cookie di profilazione; trattamenti dati delle società che gestiscono, i gestori dell’identità digitale (SPID) e sulla filiera dei soggetti di cui essi si avvalgono per il rilascio di servizi fiduciari (SPID e firma digitale); le scuole con riguardo ai registri elettronici; come in genere nei Piani semestrali, l’osservanza delle disposizioni in materia di protezione dei dati personali, ivi incluse le istruttorie relative a reclami e segnalazioni formali proposti all’Autorità ed in istruttoria presso i relativi Dipartimenti e Servizi.

Infine, come rammentato nel Piano semestrale, per l’attività ispettiva il Garante può avvalersi della Guardia di Finanza, con la quale è stato posto in essere un apposito Protocollo aggiornato nel 2021 (doc web 9570071).

Note sull'Autore

Pasquale Mancino Pasquale Mancino

Componente del Gruppo di Lavoro per la privacy nella Pubblica Amministrazione. Nota: Le opinioni espresse sono a titolo esclusivamente personale e non coinvolgono l’Ente di appartenenza dell’autore

Articoli correlati

Prev In vigore i divieti sull'intelligenza artificiale che comporta un rischio inaccettabile. Linee Guida della Commissione UE
Next Spyware, altolà del Garante Privacy per chi usa illecitamente Graphite

Galleria Video

Siamo tutti spiati? il presidente di Federprivacy a Cremona 1 Tv

Cerca Delegato

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Newsletter

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy

Federprivacy su Linkedin

Argomenti in evidenza