Varato il piano delle attività ispettive del Garante Privacy nel 2° semestre 2025: nel mirino assicurazioni, dati biometrici, data breach, e telemarketing
Con il provvedimento n. 451 del 4 agosto 2025 il Garante per la privacy ha varato il piano delle proprie attività ispettive che svolgerà durante il secondo semestre del 2025.
Nel mirino dell’Autorità i data breach che hanno colpito banche dati pubbliche, i trattamenti di dati personali in ambito assicurativo, la gestione delle segnalazioni whistleblowing, il trasporto pubblico locale, il ricorso a dati biometrici per l’identificazione dei clienti nel settore bancario, i dati trattati attraverso il dossier sanitario e dati trattati per finalità statistiche nell’ambito della ricerca scientifica, nonché il telemarketing.
Come previsto del Regolamento del n. 1/2000 sull'organizzazione e il funzionamento dell'Ufficio del Garante per la protezione dei dati personali (doc. web. n. 1098801), l’Autorità ha infatti pubblicato la Deliberazione del 4 agosto 2025 rendendo note quelle che saranno le attività ispettive a cui sarà data la priorità nella seconda parte dell’anno, che nel dettaglio sono le seguenti:
a) Svolgimento, in connessione con l’operato della task force interdipartimentale recentemente costituita, di accertamenti relativi ai data breach che hanno interessato negli ultimi mesi banche dati pubbliche di particolare rilievo e delicatezza. Ciò, con specifico riferimento alla verifica dei sistemi di sicurezza ed ai profili di accessibilità delle banche dati stesse;
b) Accertamento sui trattamenti svolti in ambito assicurativo per fini di preventivazione;
c) Verifiche sull’utilizzo degli applicativi maggiormente diffusi per l’acquisizione e la gestione delle segnalazioni whistleblowing;
d) Accertamenti volti a verificare l’osservanza della normativa di protezione dei dati con riguardo ai trattamenti effettuati nell’ambito dei servizi di trasporto pubblico locale;
e) Accertamenti sui trattamenti svolti attraverso forme di riconoscimento biometrico a fini di identificazione dei clienti dei servizi bancari;
f) Accertamenti sui trattamenti di dati in ambito statistico con specifico riferimento alla tenuta dei registri di patologia;
g) Prosecuzione delle attività concernenti i trattamenti dei dati personali contenuti nel c.d. dossier sanitario;
h) Prosecuzione delle attività ispettive concernenti l’illecito trattamento di dati ai fini di telemarketing nel settore energetico.
Anche se in linea di principio le ispezioni del Garante vengono effettuate fisicamente presso le sedi dei soggetti interessati, l’autorità può svolgere la propria attività anche da remoto con accertamenti online in riferimento a trattamenti di dati personali effettuati tramite siti internet da parte di titolari del trattamento pubblici e privati.
Le ispezioni del Garante consistono nella verifica della correttezza di tutti i sistemi di acquisizione, archiviazione, protezione, gestione e cancellazione dei dati personali trattati da un’azienda, e non si tratta di controlli puramente formali o documentali, ma sono volte ad accertare che i trattamenti di dati personali avvengano in conformità al GDPR e alla normativa correlata in materia di protezione dei dati personali.
Come previsto dal protocollo di intesa con la Guardia di finanza del 30 marzo 2021, le ispezioni saranno effettuate anche in collaborazione con il Nucleo Speciale Tutela privacy e frodi informatiche delle fiamme gialle, e oltre alle attività programmate il Garante ed il Nucleo Speciale potranno naturalmente condurre ulteriori attività ispettive a seguito di segnalazioni o di reclami da parte degli interessati.
Il provvedimento conclude definendo che “l’attività ispettiva programmata riguarderà, relativamente ai soggetti controllati, almeno 35 accertamenti ispettivi, effettuati anche a mezzo della Guardia di finanza”, precisando che “resta fermo che l’Ufficio potrà svolgere ulteriori attività istruttorie di carattere ispettivo d’ufficio, o in relazione a segnalazioni o reclami proposti”.
