Attività ispettive del Garante Privacy: la roadmap per il secondo semestre 2025

Con la deliberazione n. 451 del 4 agosto 2025, il Garante per la protezione dei dati personali ha definito il piano delle attività ispettive che verranno condotte nel secondo semestre dell’anno, ossia nel periodo luglio–dicembre 2025.

Si tratta di un provvedimento strategico che, come da consuetudine, individua le aree di maggiore interesse o criticità su cui verranno concentrati i controlli, svolti anche per il tramite del Nucleo Speciale Tutela Privacy e Frodi Informatiche della Guardia di Finanza.

Questa programmazione – adottata in continuità con la deliberazione n. 808 del 19 dicembre 2024 relativa al primo semestre – rappresenta uno degli strumenti fondamentali con cui l’Autorità esercita i propri poteri di indagine e vigilanza, previsti dal GDPR, contribuendo in maniera significativa all’evoluzione del sistema di accountability pubblico e privato.

 

1. Le basi normative dell’attività ispettiva

L’attività ispettiva è disciplinata principalmente dall’art. 58 del Regolamento (UE) 2016/679 (GDPR). Essa può essere svolta:

• direttamente dal personale dell’Ufficio del Garante,
• oppure, per delega, tramite la Guardia di Finanza, in attuazione del Protocollo d’intesa del 30 marzo 2021.

Le ispezioni non si limitano a verifiche formali, ma includono un’attenta analisi dei trattamenti, delle misure di sicurezza, della gestione degli accessi, dei flussi informativi e della documentazione (registro dei trattamenti, informative, DPIA, policy, procedure operative, ecc.).

Oltre ai controlli in presenza, l’Autorità può disporre accertamenti da remoto o verifiche online, in particolare nei confronti di soggetti che trattano dati attraverso piattaforme digitali, siti web, app o altri strumenti informatici.

 

2. Le 8 aree prioritarie sotto la lente del Garante

Il piano prevede almeno 35 accertamenti nel semestre, distribuiti su otto aree ritenute particolarmente sensibili o a rischio:

a) Data breach e sicurezza delle banche dati pubbliche

L’attenzione si concentra sugli incidenti informatici che hanno coinvolto negli ultimi mesi archivi digitali della PA e di enti pubblici, con particolare riferimento alla robustezza delle misure di sicurezza, alla tracciabilità degli accessi e all’accessibilità indebita ai dati.

b) Preventivazione nel settore assicurativo

Verranno analizzati i trattamenti svolti dalle compagnie per determinare premi e condizioni contrattuali, con focus su profilazione, trasparenza e rispetto del principio di minimizzazione dei dati.

c) Sistemi di whistleblowing

Oggetto di verifica saranno gli applicativi utilizzati per la gestione delle segnalazioni, in relazione agli obblighi introdotti dal D.lgs. 24/2023. Si verificherà l’adeguatezza dei canali interni, la riservatezza delle comunicazioni e le modalità di trattamento dei dati degli interessati.

d) Trasporto pubblico locale

I controlli riguarderanno i trattamenti connessi alla mobilità urbana e interurbana, inclusi sistemi di videosorveglianza, bigliettazione elettronica e tracciamento degli utenti.

e) Biometria in ambito bancario

Saranno approfonditi i trattamenti che impiegano tecnologie biometriche (impronte digitali, riconoscimento facciale, voice recognition) per l’identificazione della clientela, con particolare attenzione alla base giuridica del trattamento e al principio di proporzionalità.

f) Trattamenti a fini statistici – Registri di patologia

Accertamenti sul trattamento di dati personali per scopi statistici in ambito sanitario, con focus sulla gestione dei registri di patologia, che contengono dati particolarmente sensibili e rilevanti per la salute pubblica.

g) Dossier sanitario

Prosegue il monitoraggio sull’utilizzo del dossier sanitario elettronico, verificandone l’implementazione a livello territoriale, i meccanismi di accesso, la conservazione dei dati e i profili di consenso informato.

h) Telemarketing nel settore energetico

L’Autorità intensifica il controllo sul fenomeno del marketing aggressivo o illecito, in particolare da parte di operatori del comparto energia, spesso coinvolti in pratiche di contatto senza consenso, uso di liste non verificate e call center esternalizzati.

 

3. Ispezioni programmate e straordinarie: un’attività a geometria variabile

Il piano definisce un numero minimo di accertamenti (35) ma lascia spazio ad attività non programmate, sia d’ufficio, sia a seguito di segnalazioni o reclami presentati da interessati, associazioni o altri soggetti.

Inoltre, l’Ufficio del Garante riferirà mensilmente al Collegio sui soggetti ispezionati e presenterà, al termine del semestre, una relazione complessiva sull’andamento dell’attività ispettiva e istruttoria, ai sensi dell’art. 9, comma 4, lett. e) del Regolamento n. 1/2000.

 

4. Impatti per le organizzazioni: la necessità di essere “audit-ready”

La pubblicazione del piano semestrale rappresenta un’opportunità per tutte le organizzazioni – non solo quelle esplicitamente richiamate – di verificare la tenuta del proprio sistema di gestione della privacy.

Essere “audit-ready” significa disporre in qualsiasi momento di:

• Registro dei trattamenti aggiornato;
• Informative chiare e complete, differenziate per categorie di interessati;
• Valutazioni di impatto (DPIA) ove necessarie;
• Log e sistemi di audit trail dei trattamenti, accessi e violazioni;
• Misure tecniche e organizzative adeguate (crittografia, pseudonimizzazione, access control, backup, ecc.);
• Documentazione relativa alla gestione dei data breach, canali whistleblowing, dati biometrici, ecc.

Le aziende coinvolte nei settori oggetto delle ispezioni dovrebbero attivarsi immediatamente per riesaminare i propri presidi di compliance, anche con il supporto di consulenti specializzati o mediante audit interni.

 

5. Conclusioni: la funzione sistemica del controllo

L’attività ispettiva non va intesa solo come strumento repressivo o sanzionatorio, ma come leva di orientamento regolatorio. Attraverso la pubblicazione della programmazione, il Garante rende trasparenti le proprie priorità, offrendo alle organizzazioni un quadro aggiornato dei rischi e delle aspettative di conformità.

In un contesto tecnologico in continua evoluzione, caratterizzato da modelli predittivi, intelligenza artificiale, automazione e centralità dei dati, la compliance non può più essere statica, ma deve diventare parte del DNA organizzativo.

Per questo, farsi trovare preparati non è solo una buona prassi: è un imperativo di governance.

 

Focus: cosa accade durante un’ispezione?

Durante un’ispezione, il Garante (o la Guardia di Finanza per sua delega) può:

• Accedere ai locali aziendali;
• Richiedere e analizzare documentazione tecnica e legale;
• Intervistare dipendenti e responsabili;
• Verificare la sicurezza logica e fisica dei sistemi informativi;
• Acquisire evidenze informatiche o copie di database/documenti;
• Svolgere controlli anche da remoto o tramite accertamenti online.

Essere pronti significa anticipare il controllo, non subirlo.