Perché i professionisti della privacy devono tenere conto del nuovo piano ispettivo del Garante
A cosa serve tenere conto del piano ispettivo deliberato dall’Autorità Garante per la protezione dei dati personali per un professionista della privacy? Attenzione perché la scelta della formula “tenere conto” non è casuale, perché richiama il presupposto di dover prendere in considerazione non solo l’attualità, come il piano deliberato il 19 dicembre 2024 per il primo semestre 2025, ma anche i piani del passato più prossimo come quelli deliberati, rispettivamente per il primo e secondo semestre 2024, con il provv. n. 636 del 29 dicembre 2023 e il provv. n. 474 del 4 luglio 2024.
Avere una visione d’insieme dell’andamento degli ambiti d’interesse dello svolgimento di attività ispettiva curata d’iniziativa da parte dell’Ufficio del Garante comporta una possibilità di estrarre i comuni denominatori per pianificare di conseguenza le attività di controllo e di riesame delle organizzazioni individuando i criteri utili a rafforzarne l’accountability e la rendicontazione delle decisioni assunte.
Questi elementi sono solitamente corrispondenti a tassonomie espressamente individuate o facilmente deducibili e in questo modo è possibile prevenire che nel caso di sanzioni emerga il fattore aggravante di cui all’art. 83 par. 2 lett. a) GDPR valutato nel caso in cui le violazioni riscontrino criticità già prese in considerazione dall’attività del Garante Privacy e in relazione alle quali sono presenti delle consolidate indicazioni a riguardo. A titolo di esempio, è sufficiente pensare alla ricezione di comunicazioni indesiderate la valorizzazione dei consensi, o l’ambito degli istituti scolastici e delle società operanti nel settore energetico.
Non ci si deve però fermare alla valutazione dei rischi relativi al contesto esterno e alla sola componente sanzionatoria, in quanto sebbene utile – anzi: indispensabile per le strategie dell’organizzazione – non è la valutazione che viene richiesta dal GDPR secondo cui devono invece essere considerati i rischi per i diritti e le libertà delle persone fisiche. L’assenza di particolari formalismi derivante dal principio di accountability comporta infatti per l’organizzazione un’ampia libertà d’azione e facoltà di scelta per la gestione delle attività di trattamento dei dati personali e l’individuazione dei presidi che possono garantire che le misure predisposte siano adeguate.
Questo richiama però l’esigenza di doversi porre nella posizione di dover dimostrare continuamente l’ottemperanza alle prescrizioni normative, che pur avendo un effetto di responsabilizzazione può rivelarsi particolarmente onerosa. Pertanto, avere contezza del focus delle ispezioni giova a fornire indicazioni e chiarimenti tanto di metodo che di merito sulle valutazione svolte a riguardo da parte dell’autorità di controllo.
Tenere conto di questi spunti è funzionale a svolgere la propria attività professionale nell’ambito della protezione dei dati personali e fornire di conseguenza un apporto utile nella ricerca continua di quel bilanciamento fra diritti degli interessati e libertà di impresa richiesto dalla normativa in materia di protezione dei dati personali.