Cos’è e in cosa consiste l’ispezione del Garante della Privacy


Quante volte negli ultimi anni vi è capitato di ricevere telefonate da un call center per l’acquisto di un prodotto o semplicemente per indagini di mercato?  Sappiate che oggi potrebbero esserci conseguenze per la società che effettua l’indagine di mercato, se non è stata rispettata la nuova normativa.

Il caso: 2 milioni di euro di sanzione a società di telemarketing

Ispezione, Garante Privacy, telemarketing, Labor Project

 

È notizia recente, infatti, che il Garante della privacy ha comminato una sanzione di oltre 2 milioni di euro ad una società che aveva svolto, tramite un call center albanese, un’attività di telemarketing per conto di un’azienda del settore energetico, in violazione alla normativa sulla protezione dei dati personali in vigore prima del regolamento europeo. Nel caso specifico, la società di telemarketing, su presunti accordi con il gestore di energia, aveva incaricato il call center di contattare telefonicamente potenziali clienti utilizzando una numerazione telefonica raccolta dal call center stesso, senza che la lista fosse stata fornita o validata dalle aziende coinvolte nella campagna promozionale.

Una sentenza che conferma un’attenzione crescente per la protezione dei dati. Infatti il bilancio del primo anno dall’entrata in vigore del GDPR, ha prodotto 48 mila 591 comunicazioni dei dati di contatto dell’RPD, 7219 segnalazioni e reclami, 946 notifiche di Data breach, 18557 contatti con l’Urp.

In queste settimane alcuni nostri clienti hanno avuto verifiche da parte della Guardia di Finanza, Nucleo Privacy. Le verifiche sono sul GDPR e a hanno visto un cambiamento di prospettiva. Si parla maggiormente di accountability, cioè  di responsabilizzazione dell’azienda. L’autorità garante ci chiede perché abbiamo fatto determinate scelte di trattamento. E’ quindi FONDAMENTALE avere consapevolezza dei trattamenti che andiamo ad applicare.

In questo articolo vedremo, nel dettaglio:

 

Indice:

  • Ispezione del garante: in cosa consiste
  • Come nasce una ispezione
  • Cosa devono fare le aziende per farsi trovare pronte

 

 

  1. Ispezione del garante: in cosa consiste?

Attraverso la delibera del 14 febbraio 2019 il Garante ha definito il programma di ispezioni di ufficio, pianificate nel primo semestre 2019, individuando le specifiche aree di intervento.

 

  • Criteri di scelta per i controlli

Ispezione, Garante, Privacy, 2019, GDPR, Labor Project

 

Chi saranno i trenta “fortunati”? Se è improbabile fare un identikit preciso, è pur vero che il provvedimento menziona tre tipologie di aziende che potrebbero aspettarsi una visita del Garante o del Nucleo speciale privacy della guardia di Finanza.

  • Società o enti che gestiscono banche dati di dimensioni rilevanti
  • Istituti di credito
  • Società di telemarketing

 

 

  • Ambiti di intervento

Le ispezioni riguardano nella maggior parte dei casi:

  • I trattamenti dei dati personali raccolti da società di marketing
  • I dati raccolti da Istituti bancari, con particolare riferimento a quelli generati dai flussi dei conti
  • La gestione dei dati personali effettuati da enti pubblici, con riferimento a banche dati di notevoli dimensioni
  • Il trattamento dei dati personali effettuati per il rilascio dell’identità federata (SPID) e per la verifica preliminare sul SIM, (Sistema integrato di MIcrodati) ed altri sistemi informativi statistici come da parere sul programma statistico nazionale del 20 ottobre 2015
  • I dati personali effettuati da società con particolare riferimento all’attività di profilazione degli interessati che aderiscono a carte di fidelizzazione.

 

  1. Come nasce una ispezione?

 

Ispezione, Garante, Privacy, Labor Project

  • Individuazione del destinatario dell’accertamento

Gli accertamenti ispettivi possono vengono fatti a seguito di segnalazioni o reclami di soggetti terzi, oppure su iniziativa del Garante della privacy che sceglie determinati settori pubblici e privati per verificare lo stato di attuazione della normativa. Le probabilità di ispezione aumentano quando una società riceve una richiesta di informazioni da parte del Garante.

  • Chi esegue l’ispezione

Le attività ispettive sono condotte dal Nucleo Speciale Privacy della Guardia di Finanza.

In casi gravi, quando sono richieste competenze specifiche maggiori, intervengono direttamente i funzionari del Garante con il supporto della Guardia di Finanza.

  • Procedura adottata

Le ispezioni possono essere annunciate dal Garante o dalla Guardia di Finanza tramite una comunicazione scritta che di solito viene recapitata il giorno prima dell’ispezione.  E’ importante pertanto che chi controlla la PEC quotidianamente si renda conto della serietà della questione ed avverta i vertici aziendali e il settore legale in modo che possano prepararsi all’arrivo degli ispettori.

In alcuni casi, invece, il Garante sceglie l’effetto a sorpresa.

  • Richiesta di informazioni

Qualunque sia la procedura adottata, sul documento che viene notificato al momento dell’accesso in sede sono riportati i termini dell’ispezione. Si tratta della cosiddetta “Richiesta di informazioni” con cui il Garante si rivolge all’azienda o all’ente ispezionato per chiedere come siano stati assolti determinati obblighi legislativi o regolamentari in materia di protezione dei dati personali. Le possibili richieste sono:

  • come viene data l’informativa agli interessati
  • se è stato raccolto il consenso dei dati
  • come sono stati contrattualizzati i responsabili esterni del trattamento
  • quali misure di sicurezza vengono applicate
  • la durata del trattamento dei dati
  • come vengono conservati i dati raccolti.

 

  1. Cosa devono fare le aziende per farsi trovare pronte?

  • La procedura interna

È fondamentale per le aziende avere una procedura interna, per evitare di dare risposte evasive e poco circostanziante.  E’ fondamentale pertanto l’individuazione dei soggetti preposti alla gestione degli ispettori.

  • Il referente privacy interno, colui che si occupa di questioni Data Protection
  • Il capo dell’ufficio legale
  • Il capo della funzione compliance
  • Il DPO per le strutture che ne sono in possesso.

 

  • La verbalizzazione

È molto importante curare con attenzione le dichiarazioni fatte al Garante della Privacy o alla Guardia di Finanza al fine di limitare i rischi di sanzioni penali.

In alcuni casi gli ispettori possono essere interessati alla produzione di documentazione rilevante ai fini dell’accesso (ad esempio contratti, informativa, policy).

È consigliabile pertanto che le dichiarazioni di cui resta traccia, vengano vagliate da un legale interno alla società o da un consulente esterno, in modo da evitare che non diventino controproducenti o contradditorie.

Se gli interlocutori preposti alla gestione dell’ispezione del Garante o della Guardia di Finanza non si sentono sicuri su alcune tematiche, è bene che attendano il legale e si riservino di rispondere in un secondo momento.

Maggiore è la compliance privacy dell’azienda, maggiore è la facilità nel reperire la documentazione richiesta.

  • I tempi

Le ispezioni di norma durano dai due ai tre giorni. A fine giornata è bene fare un report interno su quanto fatto, allegando una copia del verbale e il programma del giorno successivo.

Di norma sono assegnati 15 giorni dalla notifica della richiesta di informazioni – ovvero dal primo giorno di ispezione – per l’invio della copia della documentazione richiesta. Spesso accade che le aziende non riescano a rispettare i tempi, diventa allora fondamentale che il delegato dell’azienda sia sempre presente in modo da coordinare i lavori e fare da punto di riferimento per l’azienda stessa e per gli ispettori.

  • Consigli utili

Ispezioni, Garante, consigli, Labor Project

 

Onde evitare spiacevoli inconvenienti, è bene agire con molta cautela durante le ispezioni seguendo alcuni pratici consigli:

  • Non rilasciare mai la documentazione in originale, ma solo copie
  • Prendere nota di tutti i documenti (inclusi banche dati, archivi, software) visionati dagli ispettori e delle informazioni richieste con relative risposte
  • Farsi rilasciare una copia del verbale
  • Dimostrarsi collaborativi e non reticenti
  • Rilasciare sempre informazioni veritiere e corrette. Nel dubbio è meglio non rispondere.
  • Nel caso di richiesta di documentazione riservata, è consigliabile cancellare le parti che non si desidera mettere a disposizione dell’Autorità, ad esempio i termini economici di un accordo.
Se ti è piaciuto l'articolo condividi:

Matteo Colombo

Socio Fondatore e Presidente dell’Associazione dei Data Protection Officer – ASSO DPO. Consulente d’impresa e formatore, esperto in materia privacy e lavoristica. Dopo un’esperienza di alcuni anni in una primaria multinazionale del settore Agenzie per il Lavoro quale Risk Manager e componente del Team ufficio legale, è socio fondatore di Labor Project Srl, azienda che da quindici anni opera nel campo della “compliance” in tema Privacy e 231/01 e di cui è a tutt’oggi l’Amministratore Delegato. A capo di un pool di tecnici, nel corso di questi anni ha seguito imprese private e pubbliche amministrazioni nell’adempimento del Testo Unico Privacy e GDPR. È DPO di alcune importanti società multinazionali. Relatore in molteplici eventi in tutta Italia sui temi Privacy e autore di diversi libri sul Regolamento (UE) Privacy. Esperto in materia di reati societari D.Lgs. 231/01 e componente di Organismi di Vigilanza. Relatore in molteplici eventi in tutta Italia sui temi Privacy e 231 e ideatore del progetto E-Learning “Master DPO”. CIPP/E: Certified Information Privacy Professional/Europe Socio Fondatore e Presidente dell’Associazione dei Data Protection Officer – ASSO DPO. Fondatore del gruppo Linkedin “ASSO DPO | Data Protection Officer”. Componente del Comitato Scientifico di Istituto Italiano Privacy Componente del gruppo di Esperti Italiani di Privacy Italia