E’ stato recentemente pubblicato il piano di verifiche ispettive prospettato dal Garante Privacy per il periodo gennaio-giugno 2025 che si concentra su specifici settori e aree, quali: la protezione delle banche dati pubbliche, il trattamento dei dati nelle banche e negli istituti di credito, la gestione dei dati biometrici, la gestione dei dati nelle scuole ed i sistemi di cookie di profilazione e tracciamento online. Vengono inoltre inseriti nuovi settori da indagare: i progetti statistici inseriti nel Programma Statistico Nazionale (PSN), con un focus particolare sull’utilizzo di big data e dati sintetici e l’utilizzo di dati biometrici per l’esame della patente.

ACCERTAMENTI VARI E COME PREPARARSI
Oltre a queste aree specifiche, l’Ufficio del Garante proseguirà con una serie di accertamenti generali nei confronti di soggetti pubblici e privati, al fine di verificare l’osservanza delle disposizioni in materia di protezione dei dati personali ed è per questo che è opportuno tenersi sempre pronti. Vediamo come.
Innanzitutto è necessario che le aziende siano in grado di dimostrare la conformità alla normativa, la corretta gestione dei consensi e l’adozione di misure tecniche per la protezione dei dati. In caso di segnalazioni o reclami, sarà essenziale una pronta risposta e la disponibilità a collaborare con l’Autorità per garantire la protezione dei diritti degli interessati.
E’ opportuno poi che il consulente privacy o DPO siano presenti durante l’attività di accertamento per supportare l’azienda nella raccolta e presentazione della documentazione richiesta e per rispondere tempestivamente alle richieste del Garante.
Una delle aree più scrutinate durante un’ispezione riguarda la documentazione relativa alla gestione dei dati. Il DPO e i consulenti devono garantire che tutti i documenti necessari siano pronti e facilmente accessibili, tra cui:

1. registro delle attività di trattamento con le relative analisi dei rischi;
2. valutazioni di impatto sulla protezione dei dati (DPIA);
3. contratti con i responsabili del trattamento (ai sensi dell’art. 28 del GDPR);
4. politiche e procedure interne di protezione dei dati;
5. moduli di consenso degli utenti, se applicabili.