Le ispezioni disposte dal Garante della Privacy possono rientrare in un piano generico o essere determinate da segnalazioni. Come prepararsi.
Le ispezioni disposte dal Garante per la privacy possono rientrare in un piano generico oppure sono determinate da segnalazioni, reclami o esposti sottoposti all’Autorità.
Si tratta di controlli svolti mediante il Nucleo Privacy della Guardia di Finanza, presso i locali delle società, per verificare l’applicazione della normativa in tema di trattamento dei dati personali.
Poiché sono sempre più frequenti, è fondamentale che i titolari e i responsabili adottino politiche preventive al fine di prepararsi per gestirle.
Come prepararsi all’ispezione
In generale è sempre bene avere un atteggiamento collaborativo con l’Autorità del Garante, condotte ostili volte a limitare o a puntualizzare eccessivamente e di continuo l’attività svolta dagli ispettori, sono decisamente controproducenti.
La collaborazione implica:
- l’obbligo di fornire l’accesso a documenti cartacei e in formato elettronico contenuti in computer, hard disk, nonché in ogni altro dispositivo informatico:
- l’obbligo di indicare dove sono conservati i documenti d’interesse;
- l’obbligo di fornire ogni informazione richiesta, indipendentemente dal fatto che i documenti o le informazioni siano tenute in luoghi diversi o da soggetti diversi dal titolare, quali responsabili del trattamento.
Le ispezioni inoltre vanno ben gestite da un punto di vista emotivo e vanno preparate adeguatamente e professionalmente. Il primo soggetto che viene coinvolto nell’ispezione è il titolare del trattamento e trovarsi davanti un soggetto che alla richiesta del registro del trattamento si trova totalmente “spaesato” e “impreparato”, che non conosce di cosa si stia parlando, sicuramente fa un’impressione non positiva. Al contrario occorre adattarsi al soggetto che si ha davanti, porsi sempre come un punto di riferimento, dimostrare di essere preparati e pronti alle domande che possono essere fatte, mantenendo costantemente concentrazione, attenzione e lucidità.
Occorre non parlare troppo, limitarsi a produrre unicamente quello che viene chiesto. Più si parla e più si rischia di ampliare il parametro dell’indagine. Occorre fare solo dichiarazioni e affermazioni che possono essere provate.
Evitare di dichiarare il falso o di omettere volutamente le informazioni che vengono richieste.
Cosa possono fare gli Ispettori
Gli ispettori possono accedere agli uffici o luoghi dove dev’essere svolta l’ispezione, dalle 7.00 alle 20.00, anche per diversi giorni e richiedere ogni documento e/o informazione oggetto della verifica.
- Possono anche apporre i sigilli su database e documenti.
- Possono svolgere interrogatori ai quali occorre rispondere in modo corretto, chiaro e non evasivo.
- Possono registrare gli interrogatori
Le risposte devono far riferimento il più possibile alle procedure adottate, in modo da evitare risposte generiche.
Piuttosto che fare affermazioni avventate e che non possono essere provate riservarsi di fornire, anche successivamente, chiarimenti e/o risposte nonché documentazione più dettagliata.
Cosa non possono fare gli Ispettori
- Non possono cercare documenti che non hanno alcun collegamento con l’oggetto dell’ispezione.
- Non possono richiedere e pretendere l’originale dei documenti (consegnare soltanto copie dei documenti e degli atti oggetto dell’ispezione)
- Non possono effettuare interviste e svolgere domande non pertinenti, né rilevanti per l’oggetto dell’ispezione.
- Non possono porre domande che non hanno attinenza con l’ispezione
Eventuali informazioni assunte che esulino dall’oggetto dell’indagine, potranno essere debitamente impugnate con le modalità consentite dalla legge.
Come avviene un’ispezione
All’avvio dell’ispezione gli incaricati interni delle aree coinvolte dovranno coinvolgere il consulente Privacy. La prima cosa da fare è richiedere l’autorizzazione e verificarla, rivedere e siglare il verbale.
Il legale rappresentante o il soggetto appositamente delegato dovrà necessariamente essere a disposizione, al fine di poter sottoscrivere il relativo verbale.
Occorrerà aver predisposto, precedentemente, una check-list di accountability che elenchi tutta la documentazione, le procedure, i processi e le misure di sicurezza adottate all’interno della realtà aziendale.
Documentazione da rendere disponibile
- Registro dei trattamenti: solitamente è il primo documento che chiedono i funzionari del Garante;
- Informative: di cui agli art. 13 e 14 del GDPR;
- Consensi prestati dagli interessati indicando se e con quali modalità è stato raccolti, ai sensi degli artt. 7 e 8 del GDPR, con particolare riferimento ai soggetti minori o soggetti vulnerabili, nonché all’uso dei dati a fini promozionali, mettendo a disposizione copia della relativa documentazione; nel caso di consenso raccolto tramite siti web occorrerà essere in grado di dimostrare la raccolta del consenso;
- Atti di nomina in base all’attribuzione dei compiti in tema di trattamento dei dati personali: soggetti interni, amministratore di sistema nonché eventuali atti di co-titolarità e/o di titolarità autonoma qualora presenti;
- Atti di nomina dei responsabili esterni: (e/o sub responsabili) del trattamento, con acquisizione del relativo contratto e designazione ai sensi dell’art. 28 GDPR;
- Documentazione relativa alla formazione dei soggetti interni nominati (ex incaricati), mettendo a disposizione copia dei verbali di formazione e/o degli attestati, con i relativi programmi svolti;
- Individuazione delle piattaforme tecnologiche utilizzate per trattare i dati personali, precisando se le stesse sono gestite direttamente o da soggetti terzi;
- Procedure adottate per l’esercizio dei diritti degli interessati: (artt. 15 a 22 GDPR);
- Procedura Data Breach: (con il relativo Registro Data Breach);
- Procedure relative ai sistemi informativi: anche con riferimento al personale interno;
- Procedure tese a disciplinare il trattamento dei dati raccolti tramite il sistema di videosorveglianza o tramite la geolocalizzazione;
- Procedura interna per la gestione delle ispezioni che individui i soggetti designati da contattare in caso di ispezioni;
- In particolare occorrerà indicare tutte le misure adottate per accedere alle banche dati o alle varie cartelle presenti (username e password – modalità di autenticazione); Backup effettuati e modalità con cui vengono effettuati; Antivirus presenti; Eventuali alert implementati sui sistemi.
A tal fine sarebbe opportuno acquisire dall’amministratore di sistema e/o dal responsabile esterno del trattamento, una relazione sullo stato dei sistemi (gap analysis) nonché un piano di implementazione sulle misure da attuare.
Conclusioni
Di certo “subire” un’ispezione non fa piacere a nessuno ma prepararsi adeguatamente e preventivamente può certamente aiutare ad affrontarla con maggiore serenità.
Le regole affinché un’ispezione abbia esito positivo sono: l’essere preparati e afferrati sulla materia e sulla documentazione adottata, il non improvvisare, restare calmi e mantenere lucidità durante tutta l’ispezione e rispondere con competenza e professionalità alle domande che vengono poste.
Documentazione allegata
-
Le ispezioni del Garante della Privacy.docx
Dimensione del file: 287 KB
Comments are closed for this article!