Immaginate di essere in un poliziesco americano e “Ispezione Garante Privacy! Siete sospettati di traffico illegale di dati personali! Avete il diritto di rimanere in silenzio. Qualsiasi cosa direte potrà essere e sarà usata contro di voi in tribunale. Avete diritto a un avvocato durante l’interrogatorio. Se non potete permettervi un avvocato, ve ne sarà assegnato uno d’ufficio.”

La realtà, però, non è esattamente questa.

Genesi di un’ispezione Privacy

Le ispezioni che il Garante Privacy, tramite il proprio Dipartimento Ispettivo o tramite il Nucleo Speciale della Guardia di Finanza, pone in essere, possono avvenire:

  1. quando il settore merceologico dell’azienda rientra all’interno del piano di controlli (controllo “a campione“);
  2. quando l’azienda viene coinvolta all’interno delle verifiche fatte ad un suo cliente o fornitore (controllo “a cascata“);
  3. a causa di un Data Breach (Violazione dei dati personali);
  4. a seguito a reclami e segnalazioni al Garante da parte dei soggetti interessati.

I controlli ispettivi possono essere anticipati dal Garante o dalla Guardia di Finanza tramite comunicazione PEC o fax, ma possono anche avvenire a sorpresa. È opportuno quindi dotarsi di una specifica procedura interna di gestione delle ispezioni del Garante Privacy e istruire adeguatamente, ad esempio, chi controlla la PEC dell’organizzazione sulle procedure di avviso tempestivo dei vertici aziendali in modo da prepararsi all’ispezione.

In questa fase non bisogna farsi prendere dal panico. Bisogna ricordarsi sempre che il perimetro dell’ispezione del Garante Privacy sarà definito attraverso un documento, notificato al momento dell’accesso nella sede dell’azienda o dell’organizzazione, chiamato “Richiesta di Informazioni”. Con questo documento il Garante domanda come siano stati adempiuti determinati obblighi legislativi o regolamentari in materia di protezione dei dati personali.

La richiesta di informazioni, per esempio, può riguardare come viene data l’informativa agli interessati, le modalità di raccolta e di gestione del consenso, ove necessario, come vengano disciplinati i rapporti con i responsabili esterni del trattamento, quali misure di sicurezza siano applicate, per quanto tempo e come vengano conservati i dati trattati.

Il rapporto con la Guardia di Finanza

“Volete dirci che oltre alle multe per sosta in doppia fila, i vigili urbani del mio comune possono farmi anche un verbale di accertamento per violazione del GDPR?”

No, non preoccupatevi. E non parcheggiate in doppia fila, mi raccomando.

Oltre ai poteri correttivi, autorizzativi e consultivi, il GDPR conferisce al Garante Privacy la facoltà di condurre indagini, ottenere l’accesso ai dati e a tutte le informazioni necessarie per l’esecuzione dei compiti di controllo, ottenere l’accesso ai locali del titolare del trattamento e del responsabile del trattamento, in conformità con il diritto dell’Unione o il diritto particolare degli Stati membri. Pertanto, ogni Stato dell’UE può disporre con norme ad hoc che la propria Autorità Garante nazionale abbia ulteriori poteri rispetto a quelli previsti dal GDPR.

In Italia, il potere di accesso del Garante Privacy alle banche di dati o agli archivi, al fine di effettuare verifiche nei luoghi ove si svolge il trattamento dei dati personali è ribadito dall’art. 158 del Codice Privacy, come modificato dal d. lgs. 101/2018. In particolare, al comma 3, prevede la sinergia operativa con altri organi di Stato.

Il Protocollo d’Intesa tra Garante e Guardia di Finanza

La collaborazione tra il nostro Garante Privacy e la Guardia di Finanza trova fondamento nel Protocollo d’Intesa, aggiornato a marzo 2021. In particolare, il Nucleo Speciale Tutela Privacy e Frodi Tecnologiche collabora all’ispezione del Garante Privacy attraverso:

  1. reperimento di informazioni sui soggetti da controllare;
  2. supporto nei rapporti con le Autorità Giudiziarie;
  3. collaborazione di propri agenti durante gli accessi alle banche dati, le ispezioni, le verifiche e gli altri rilievi nei locali ove si svolge il trattamento;
  4. sviluppo delle attività delegate o sub-delegate per l’accertamento delle violazioni di natura penale o amministrativa;
  5. contestazione delle sanzioni amministrative rilevate nell’ambito delle attività delegate;
  6. esecuzione di indagini conoscitive sullo stato di attuazione della legge inerente a settori specifici.

Il Piano Ispettivo di controlli 2021 del Garante Privacy

Il Garante Privacy determina a cadenza semestrale i settori che saranno sottoposti ad accertamenti:

  1. le categorie di soggetti coinvolti;
  2. il numero di ispezione in programma.

È bene sapere che il nuovo Piano Ispettivo per il periodo gennaio-giugno 2021 presenta delle novità rispetto a quello del secondo semestre 2020, che si poneva in continuità con le attività del primo semestre.

Il Garante Privacy passerà sotto la lente d’ingrandimento:

  • dati biometrici per il riconoscimento facciale anche mediante sistemi di videosorveglianza;
  • dati personali nel settore della “videosorveglianza domestica” e nel settore dei sistemi audio/video applicati ai giochi (“giocattoli connessi”);
  • trattamenti effettuati da “data broker”;
  • trattamenti effettuati da società rientranti nel settore denominato “Food Delivery”;
  • Data Breach.

Le ispezioni relative a questi ambiti previste per il semestre sono quasi raddoppiate rispetto a quelle del semestre precedente. Questo dato è indicativo della maggiore attenzione che il Garante sta dedicando all’attività ispettiva.

L’oggetto dell’ispezione

I controlli effettuati nel corso delle ispezioni riguarderà soprattutto:

  • la verifica dei presupposti di liceità del trattamento in base alla normativa;
  • la verifica delle condizioni previste dalla legge per la gestione del consenso degli interessati, qualora il trattamento sia fondato su tale base giuridica;
  • il rispetto dell’obbligo di prestare adeguata informativa agli interessati;
  • il rispetto dei tempi di conservazione dei dati.

Come prepararsi all’ispezione del Garante Privacy

Uno dei principi cardine del GDPR è l’accountability, che si sostanzia nell’obbligo di responsabilizzazione in capo al titolare ed al responsabile del trattamento dei dati. In base a questo principio, il titolare ed il responsabile devono adottare comportamenti proattivi per dimostrare di essersi impegnati nell’adozione di misure finalizzate ad assicurare l’applicazione della normativa europea sulla protezione dei dati e a minimizzare i potenziali rischi per gli interessati.

Per dimostrare un buon grado di accountability, è fondamentale che sia già stata predisposta la documentazione relativa ai principali adempimenti della normativa, quale, ad esempio, il registro delle attività di trattamento. Due cose sono certe nella vita: la morte e la richiesta di una dettagliata illustrazione dell’organizzazione aziendale sotto il profilo delle procedure e delle attività di trattamento dei dati personali. Per cui, dotatevi di un organigramma e di un diagramma di flusso pronti all’uso!

Evitate, infine, risposte evasive, errate o false dichiarazioni, spesso dovute alla mancata conoscenza delle procedure, e dotatevi di una procedura interna che individui i soggetti preposti a interfacciarsi con gli ispettori.

Questi soggetti possono essere:

  • il Referente Privacy interno, colui che si occupa di questioni di Data Protection;
  • il Responsabile dell’ufficio legale o in alternativa il legale esterno dell’azienda;
  • il Capo della funzione Compliance;
  • il DPO per le strutture che lo hanno nominato;

Le fasi dell’ispezione (infografica)

Garante privacy ispezione fasi

 

Ispezione del Garante Privacy, non ti temo!

Ricordarsi sempre che durante un’ispezione è fondamentale essere collaborativi e non ostativi nei confronti degli ispettori.

Da un comportamento poco collaborativo, se non addirittura di ostacolo al controllo ispettivo, possono derivare ingenti danni. Ad esempio, non dare riscontro alla richiesta di informazioni o negare l’accesso ai dati o ai locali può comportare sanzioni che arrivano a 20.000.000 di euro o il 4% del fatturato.

Le sanzioni possono essere anche penali: si può arrivare ad un anno di reclusione se intenzionalmente si turba o si provoca l’interruzione di un procedimento ispettivo; per falsa testimonianza o per la produzione di atti infedeli si può arrivare invece fino a tre anni di reclusione.

Ispezione Garante Privacy suggerimenti

 

Il potere ispettivo non è assoluto

I funzionari del Garante Privacy agiscono, durante i controlli ispettivi, entro precisi limiti di azione definiti nel già citato documento di “Richiesta informazioni”.

COSA POSSONO FARECOSA NON POSSONO FARE
Accedere agli uffici aziendali, luogo oggetto dell’ispezione (dalle ore 7 alle ore 20)Richiedere o ricercare documentazione non oggetto dell’ispezione
Richiedere documenti e/o informazioni che siano oggetto dell’ispezioneAcquisire documentazione in originale
Apporre i sigilli su documenti e databaseEffettuare interviste o interrogatori non pertinenti e non rilevanti rispetto all’oggetto dell’ispezione

Risultato dell’ispezione del Garante Privacy

Al termine delle attività di ispezione, gli output forniti dal Garante potranno essere:

  • Verbale firmato da tutte le parti coinvolte;
  • Richiesta di integrazioni;
  • L’invio di un verbale di contestazione entro 3 mesi dall’ispezione e di una eventuale ordinanza-ingiunzione entro i 5 anni successivi;
  • L’emissione di provvedimenti, quali richiami, misure correttive, blocco trattamento.

 E’ importante verificare tutto ciò che viene verbalizzato dagli ispettori onde evitare errori di trascrizione.

Fai un audit e ti dirò chi sei

Per verificare la conformità alla normativa e non rischiare di incorrere in potenziali sanzioni, è di fondamentale importanza svolgere regolarmente audit e monitorare costantemente e sistematicamente i processi attuati e implementati in azienda.

Per audit si intende un’attività di verifica sistematica e indipendente, svolta da specifici profili professionali denominati auditor, finalizzata a vagliare la conformità delle attività aziendali e dei risultati ottenuti a quanto pianificato.

Obiettivo ulteriore è valutare se quanto predisposto sia attuato efficacemente nei processi aziendali e risulti idoneo e adeguato al perseguimento degli obiettivi prefissati.

Il monitoraggio costante e sistematico attraverso diverse sessioni di audit Data Protection permette di verificare l’effettiva implementazione di corretti processi e procedure di trattamento dei dati personali.

Per riassumere

Subire un’ispezione non fa piacere a nessuno, ma essere preparati, avere il personale formato a dovere e una documentazione correttamente ordinata sono i capisaldi per gestire nel miglior modo possibile anche le ispezioni più complicate.

Pertanto, per far si che un’ispezione del Garante Privacy abbia esito positivo bisogna essere pronti: non improvvisate, restate calmi e dimostrate lucidità e competenza durante tutto il controllo ispettivo, rispondendo con professionalità, sicurezza e precisione alle domande che vi verranno poste.