Il Garante per la protezione dei dati personali ha varato il piano delle attività ispettive 2025 per il secondo semestre, delineando le aree su cui si concentreranno i controlli nei prossimi mesi.
Il programma, elaborato anche in collaborazione con la Guardia di Finanza, individua i settori più critici per la tutela dei dati personali e rappresenta un chiaro avviso per le aziende: la conformità al GDPR e alla normativa correlata non può essere trascurata.
In cosa consistono le ispezioni del Garante
Le ispezioni del Garante non sono semplici controlli documentali: si tratta di accertamenti volti a verificare la correttezza di tutti i sistemi di acquisizione, archiviazione, protezione, gestione e cancellazione dei dati personali.
In altre parole, l’Autorità intende verificare che i trattamenti avvengano in conformità al GDPR, garantendo la sicurezza e la tutela effettiva dei diritti degli interessati.
Come previsto dal protocollo d’intesa con la Guardia di Finanza del 30 marzo 2021, le ispezioni saranno condotte anche in collaborazione con il Nucleo Speciale Tutela Privacy e Frodi Informatiche, con possibilità di affiancare ai controlli programmati ulteriori verifiche d’ufficio o a seguito di reclami e segnalazioni da parte dei cittadini.
Il provvedimento del Garante precisa che l’attività programmata riguarderà, relativamente ai soggetti controllati, almeno 35 accertamenti ispettivi, a cui potranno aggiungersi ulteriori verifiche istruttorie, anche non pianificate.
Per approfondire > Ispezioni Garante Privacy? Niente panico, ecco cosa fare
Attività ispettive 2025: i settori sotto controllo
Il piano delle attività ispettive 2025 per il secondo semestre individua cinque aree prioritarie. Ognuna di esse è caratterizzata da trattamenti ad alto rischio o da prassi diffuse che richiedono particolare attenzione.
Assicurazioni
Il settore assicurativo è tradizionalmente sotto la lente del Garante per l’enorme mole di dati trattati, spesso di natura particolarmente sensibile, come quelli sanitari e relativi allo stato di salute degli assicurati.
Le ispezioni verificheranno in particolare:
- la proporzionalità dei dati richiesti in fase di stipula delle polizze;
- le modalità di conservazione e archiviazione delle informazioni;
- la sicurezza dei sistemi informatici e la gestione degli accessi;
- il rispetto dei principi di minimizzazione e limitazione della finalità.
Le compagnie dovranno dimostrare di avere processi conformi e di adottare misure tecniche e organizzative adeguate per proteggere i dati degli assicurati.
Dati biometrici
Il ricorso a sistemi di riconoscimento facciale, impronte digitali, scansioni dell’iride e altre tecnologie biometriche è sempre più diffuso, sia in ambito aziendale che nei servizi rivolti al pubblico.
Il Garante intende verificare che questi trattamenti rispettino i principi fondamentali del GDPR, con particolare attenzione a:
- la necessità e proporzionalità dell’uso dei dati biometrici rispetto alle finalità perseguite;
- l’esistenza di misure di sicurezza avanzate, data la natura unica e non modificabile dei dati biometrici;
- la corretta informativa agli interessati e la raccolta di un consenso valido, quando richiesto;
- le regole di conservazione limitata nel tempo e la cancellazione sicura dei dati.
L’uso improprio di dati biometrici può comportare rischi elevatissimi per i diritti e le libertà delle persone, ed è quindi un’area sotto stretta sorveglianza.
Per approfondire > GDPR e dati biometrici: come trattarli in azienda
Data breach
I data breach continuano a rappresentare una delle criticità più frequenti nelle aziende. Il Garante verificherà che siano rispettati gli obblighi previsti dagli artt. 33 e 34 del GDPR, ossia:
- la notifica tempestiva all’Autorità di controllo entro 72 ore;
- la comunicazione agli interessati nei casi di rischio elevato per i loro diritti e libertà;
- la presenza di procedure interne documentate e testate per gestire gli incidenti di sicurezza;
- l’adozione di misure tecniche (es. crittografia, backup sicuri) volte a ridurre la probabilità e l’impatto di un data breach.
Il mancato rispetto di questi obblighi può portare a pesanti sanzioni e a un grave danno reputazionale.
Per saperne di più > Data Breach: come prevenirli e come rispondere in modo efficace
Telemarketing
Nonostante le numerose azioni del Garante negli ultimi anni, il telemarketing aggressivo o privo di consenso valido resta una delle violazioni più diffuse e segnalate dai cittadini.
Il piano di attività ispettive 2025 prevede controlli mirati su:
- l’uso corretto delle banche dati e dei registri delle opposizioni;
- la raccolta e conservazione del consenso informato degli interessati;
- la tracciabilità delle chiamate e la possibilità per gli utenti di esercitare i propri diritti di opposizione;
- le attività dei call center in outsourcing, spesso localizzati all’estero, che comportano ulteriori rischi di trasferimento illecito di dati.
Le aziende dovranno dimostrare di avere procedure trasparenti e controlli efficaci per evitare pratiche scorrette.
Per approfondire > Call center recidivo continua il telemarketing illecito: doppia sanzione del Garante
Whistleblowing
Il piano ispettivo dedica un’attenzione crescente agli applicativi di whistleblowing, obbligatori per molte realtà aziendali a seguito della Direttiva UE 2019/1937.
Il Garante intende verificare che le piattaforme adottate rispettino i requisiti di legge, in particolare:
- la garanzia di riservatezza del segnalante e delle persone coinvolte;
- la protezione dei dati attraverso canali di comunicazione sicuri e crittografati;
- l’accesso limitato alle segnalazioni solo da parte di soggetti espressamente autorizzati;
- la definizione di tempi certi e modalità sicure per la conservazione e la cancellazione dei dati raccolti.
Questo ambito è particolarmente delicato perché coinvolge direttamente la fiducia dei dipendenti e la credibilità dell’azienda. Una gestione inadeguata delle segnalazioni può trasformarsi rapidamente in un rischio giuridico e reputazionale. Inoltre, l’ANAC ( (Autorità Nazionale Anticorruzione) è autorizzata a comminare sanzioni nell’intervallo da 10.000 a 50.000 euro nel caso in cui accerti l’assenza di canali di segnalazione o la loro implementazione non risulti conforme alla normativa.
Per approfondire > Whistleblowing: gli illeciti da segnalare
Il piano completo delle attività ispettive del Garante per la Protezione dei Dati Personali è disponibile qui.
Piano ispettivo 2025 del Garante Privacy: come prepararsi?
Il piano di attività ispettive del secondo semestre del 2025 del Garante Privacy conferma che la conformità al GDPR non è un obiettivo una tantum, ma un percorso continuo che richiede aggiornamenti costanti. Le aziende che vogliono affrontare le verifiche con serenità devono assicurarsi di:
- aggiornare periodicamente il registro dei trattamenti e le informative;
- raccogliere i consensi in modo valido, tracciabile e facilmente revocabile;
- predisporre procedure efficaci di gestione dei data breach;
- valutare periodicamente i rischi tramite strumenti come la DPIA;
- formare i dipendenti sui principi di sicurezza e protezione dei dati.
Un approccio proattivo e documentato riduce non solo il rischio di sanzioni, ma dimostra anche trasparenza e affidabilità nei confronti di clienti, partner e dipendenti.
Segnala Sicuro: la piattaforma conforme per il whistleblowing
Tra le aree di attenzione del piano ispettivo spicca il whistleblowing. Per gestire correttamente le segnalazioni aziendali, puoi fare affidamento su Segnala Sicuro, la piattaforma progettata per coprire a 360° ogni tipo di necessità in merito al whistlebowling.
Affronta le attività ispettive 2025 con uno strumento conforme
