Le ispezioni privacy: cosa sono e come farsi trovare preparati

Le ispezioni rappresentano l’esame principale per il titolare del trattamento, che deve essere in grado di gestire le richieste delle Autorità senza esitazioni, con il personale e la corretta documentazione a supporto. Fallire l’esame può avere conseguenze determinanti per l’impresa, sia sul piano economico che a livello personale, in termini di responsabilità penale del titolare del trattamento.



Nel corso del 2020 abbiamo assistito ad un significativo incremento delle ispezioni e delle sanzioni comminate dell’Autorità Garante per la protezione dei dati personali. Anche in questo primo semestre del 2021 l’andamento non sembra subire flessioni. 

La probabilità di subire un controllo privacy è cresciuta esponenzialmente, insieme al numero di reclami e segnalazioni ricevuti all’ufficio dell’Autorità. Gli accertamenti ispettivi, infatti, possono scaturire da molteplici fonti: oltre al classico avvio d’ufficio, sulla base del piano pubblicato semestralmente, l’attività ispettiva può svilupparsi partendo da notifiche di data breach, comunicazioni, segnalazioni o reclami degli interessati. 

Tutti questi profili di rischio vanno adeguatamente presidiati dal titolare del trattamento, che, in caso di ispezione, dovrà farsi trovare pronto. Accontability, infatti, significa anche saper gestire le richieste dell’Autorità, coinvolgendo le figure necessarie e fornendo un riscontro completo, veritiero e supportato dalla giusta documentazione e dalle giuste argomentazioni.

Indice

Il nucleo privacy bussa alla porta 

Le attività ispettive sono condotte dal Nucleo Speciale Tutela Privacy e Frodi Tecnologiche della Guardia di Finanza, sulla base del protocollo d’intesa con l’Autorità Garante, come da ultimo aggiornato lo scorso 31 marzo. Il Gruppo Privacy, riferimento interno al Nucleo, assicura, con proiezione nazionale, gli adempimenti connessi all’attività collaborativa con il Garante, avvalendosi anche di reparti del Corpo dislocati nelle diverse zone del territorio. Il corpo di volta in volta incaricato collabora attraverso: 

  • il reperimento di dati e informazioni sui soggetti da controllare, anche attraverso indagini conoscitive;
  • la partecipazione di proprio personale agli accessi alle banche dati, ispezioni, verifiche e alle altre rilevazioni nei luoghi ove si svolge il trattamento, compresi tutti gli strumenti e mezzi di trattamento dei dati. Le verifiche possono essere condotte anche on-line, ove mirate all’analisi di piattaforme, siti web o altri strumenti telematici utilizzati;
  • l'assistenza nei rapporti con l'Autorità Giudiziaria; 
  • lo sviluppo di attività delegate o sub-delegate per l'accertamento delle violazioni in materia di protezione dei dati personali; 
  • la partecipazione di proprio personale, a richiesta del Garante, a operazioni congiunte con Autorità di protezione dei dati personali appartenenti ad altri Paesi;
  • la notifica di atti e provvedimenti.

La collaborazione con il Nucleo Speciale Privacy non preclude tuttavia all’Autorità Garante di condurre ispezioni in prima persona, mediante funzionari incaricati o mediante l’ausilio di consulenti tenuti al segreto su ciò di cui vengono a conoscenza, nell’esercizio delle proprie funzioni. Ciò accade generalmente in casi particolarmente delicati o controversi. 

Gli accertamenti in loco possono essere previamente comunicati al titolare a mezzo PEC (generalmente poco prima dell’ispezione stessa), se ciò può facilitarne l’esecuzione, altrimenti possono anche avvenire senza alcun avviso e a sorpresa. 

Ai soggetti presso i quali sono eseguiti gli accertamenti è consegnata copia dell'autorizzazione del presidente del tribunale, ove rilasciata. Se non è disposto diversamente nel decreto di autorizzazione del presidente del tribunale, l'accertamento non può essere iniziato prima delle ore sette e dopo le ore venti. 

L’oggetto degli accertamenti viene direttamente definito al momento dell’accesso in sede, mediante la “richiesta di informazioni”, con cui l’Autorità verifica l’adempimento degli obblighi normativi.

Cosa esibire in sede di ispezione del Garante

In funzione della specifica richiesta di informazioni, il titolare del trattamento o le figure da questi designate per la gestione delle ispezioni, potranno dover fornire documenti attestanti: 

  • l’avvenuta informazione degli interessati e la trasparenza delle attività di trattamento, mediante esibizione delle informative;
  • il rispetto dei principi del GDPR, anche attraverso l’esibizione di policy interne, in grado, ad es., di dimostrare la cancellazione dei dati entro un determinato periodo di tempo (la data retention policy, fondamentale supporto per il rispetto del principio di limitazione della conservazione dei dati);
  • il rispetto dei diritti degli interessati, attraverso procedure dedicate alla gestione delle istanze privacy; 
  • l’adeguatezza delle basi giuridiche;
  • l’adeguatezza delle misure tecniche ed organizzative per assicurare la sicurezza dei trattamenti;
  • l’avvenuta designazione di un responsabile della protezione dei dati (RPD / DPO);
  • la formazione degli autorizzati;
  • Ecc.

L’esibizione dei documenti rappresenta una fase particolarmente delicata e, al tempo stesso, complessa da gestire. Determinati processi aziendali, possono essere in capo a diversi incaricati e a distinte aree interne, che devono prontamente essere coinvolte. 

È necessario, inoltre, che le repository privacy siano ben organizzate, in modo da consentire l’accesso immediato in fase di ispezione e, conseguentemente, in modo da garantire la massima collaborazione, fattore che risulta determinante anche in seguito, in fase di definizione dell’esito dell’ispezione (il grado di collaborazione è uno degli elementi che concorre nella commisurazione dell’eventuale sanzione amministrativa). 

Inoltre, considerando la durata media di una ispezione (3 giorni con maggiorazioni in caso di identificazione di problematiche da approfondire), è opportuno che, oltre al coinvolgimento di specifiche figure in relazione al tema oggetto di verifiche, vi sia un soggetto sempre presente, che faccia da punto di riferimento (referente) interno ed esterno, nello scambio di informazioni con la Guardia di Finanza. Ove designato, deve prontamente intervenire anche il DPO, figura avente anche il fondamentale ruolo di mediare fra l’Autorità e gli intervistati. 

Come farsi trovare pronti in caso di ispezione

Per la gestione di un’ispezione, quindi, è necessario considerare molteplici aspetti: 

  • Gestione ruoli: quali figure interne ed esterne intervengono in caso di controlli, chi le sostituisce, e come garantirne il coinvolgimento nel minore tempo possibile;
  • Gestione documentale: mediante organizzazione di una repository privacy o di un faldone con la documentazione aggiornata da esibire in caso di controlli; 
  • Gestione delle richieste: è importante determinare preventivamente le modalità con cui fornire riscontro alle Autorità, avendo cura di garantire la massima collaborazione dei partecipanti, segnandosi tutte le richieste e le informazioni fornite e prendendo nota dei documenti esibiti. Il riscontro fornito all’Autorità deve sempre essere veritiero e non dovrebbero emergere informazioni contrastanti: in caso di falsità delle dichiarazioni rese all’Autorità il Codice Privacy prevede una responsabilità penale, ovvero la reclusione da 6 mesi a 3 anni;
  • Gestione della formazione: al fine di ottimizzare il riscontro fornito agli ispettori è essenziale che gli intervistati risultino debitamente formati rispetto alla normativa applicabile al trattamento dei dati personali.

Il titolare del trattamento dovrebbe quindi valutare l’opportunità di implementare una procedura interna per affrontare le ispezioni, prevedendo le principali azioni da intraprendere durante le diverse fasi dell’indagine. I nostri consulenti sono a disposizione per offrire supporto nello sviluppo di policy e di procedure per la gestione di controlli privacy. 

Se desideri approfondire la tematica delle ispezioni condotte dalla Guardia di Finanza, mediante un approccio concreto, basato su casi ed esperienze vissute dai consulenti di Labor Project, considera l’opportunità di partecipare alla quarta giornata del Corso “Il Diario del DPO”. 

Accedi alla pagina dedicata cliccando QUI.

Se ti è piaciuto l'articolo condividi: