Ispezioni del Garante della privacy nel 2025: novità e punti fermi

1. sui data breach che hanno interessato negli ultimi mesi banche dati pubbliche di particolare rilievo e delicatezza;
2. sulla statistica (con un focus su s​​pecifici progetti del Piano Strategico Nazionale, comportanti utilizzo di big data e dati sintetici);
3. sull'utilizzo dei dati biometrici per l'ammissione agli esami della patente di guida;
4. sui servizi di e-mail marketing;
5. sulle verifiche sul trattamento di dati effettuato da imprese che gestiscono call center.

Con riguardo al primo punto, la sicurezza nella gestione dei dati è diventata una priorità assoluta, soprattutto a seguito degli incidenti di violazione (data breach) che hanno coinvolto settori cruciali. In un contesto in cui le violazioni dei dati personali sono sempre più frequenti, in particolare all'interno di “banche dati altamente sensibili", il Garante ha introdotto una task force interdipartimentale. Il focus viene posto sulle misure tecniche delle banche dati delle istituzioni bancarie, ponendosi come obiettivo il contrasto al furto di dati e il potenziamento della sicurezza.

Proseguendo, il Garante potrà verificare che effettivamente i dati utilizzati siano sintetici e quindi dati non creati dall'uomo che imitano i dati del mondo reale. Tali dati, ove personali, dovranno rispettare le regole del GDPR.

In riferimento ai dati biometrici, sarà prestata particolare attenzione a come questi dati vengano trattati dagli uffici della Motorizzazione Civile. In questo contesto, l'obiettivo è garantire che l'acquisizione e il trattamento di informazioni avvengano nel pieno rispetto della normativa sulla privacy.

Quanto ai servizi di e-mail marketing, il Garante esaminerà invece la liceità nell'acquisizione e nell'utilizzo degli indirizzari e delle banche dati. Si tratta di un'attività mirata, in cui le aziende inviano messaggi personalizzati a un gruppo di destinatari, che possono essere clienti esistenti o potenziali, con l'obiettivo di informare, fidelizzare o condurre l'interessato all'acquisto.

Il provvedimento riconferma inoltre alcune attività di controllo già presenti nel precedente piano ispettivo 2024, come quelle sui sistemi di allarme con funzionalità audio/video da remoto, sull'attivazione di contratti non richiesti nel settore energetico, sugli istituti scolastici in relazione al trattamento dei dati tramite i registri elettronici, sull'implementazione delle Linee guida sui cookie e sugli strumenti di tracciamento.

In particolare, sulla raccolta di dati nel settore energetico, va rammentato che l'attivazione di contratti senza consenso esplicito dell'interessato configura un trattamento illecito di dati personali.

Inoltre, gli istituti scolastici devono prestare attenzione al trattamento dei dati tramite i registri elettronici, un'area che (per sua natura) comporta la gestione di dati personali, anche particolari o di pagamento, legati a studenti e famiglie.

Infine, sui cookie e sugli strumenti di tracciamento, le organizzazioni dovranno assicurare la compliance alle Linee guida cookie e altri strumenti di tracciamento del 10 giugno 2021, mettendo a norma/revisionando informative, banner e consensi granulari.

Il piano ispettivo 2025 del Garante rappresenta dunque un passo decisivo verso la salvaguardia dei dati personali, con un focus mirato su aree chiave e l'intensificazione dei controlli in risposta alle sfide emergenti della digitalizzazione. Le organizzazioni dovranno quindi attrezzarsi, mettendo a terra  (anche con l'aiuto dei loro DPO) azioni di audit e simulazioni in priorità sui processi critici attenzionati dal Garante.