Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

Lo scenario

GDPR, come affrontare le ispezioni del Garante della privacy

Passo per passo tutto ciò che occorre sapere, i documenti da possedere e le pratiche da attuare, per affrontare serenamente le ispezioni del Garante della privacy, previste per verificare l’adeguamento al GDPR delle aziende

21 Ago 2019
B

Clementina Baroni

Avvocato giuslavorista, DPO, formatore esperto


Le ispezioni del Garante per la privacy rientrano in un piano ispettivo oppure sono determinate da segnalazioni, reclami o esposti sottoposti all’Autorità. Si tratta di controlli svolti mediante il Nucleo Privacy della Guardia di Finanza, presso i locali delle società per verificare l’applicazione della normativa in tema di trattamento dei dati personali: poiché sono sempre più frequenti, è fondamentale che i titolari e i responsabili adottino politiche preventive al fine di prepararsi per gestirle.

Come prepararsi all’ispezione: tutti gli step

In primo luogo occorre adottare una procedura di gestione dell’ispezione. Trattasi di un documento che illustra le procedure, i ruoli e i comportamenti da seguire in caso di ispezione dell’Autorità o della Guardia di Finanza. In generale è sempre bene avere un atteggiamento collaborativo con l’Autorità Garante. Per esperienza ho potuto verificare che atteggiamenti ostili, tesi a limitare o a puntualizzare eccessivamente e di continuo l’attività svolta dagli ispettori è decisamente controproducente.

L’obbligo di collaborazione implica l’obbligo di fornire l’accesso a documenti cartacei e in formato elettronico contenuti in computer, hard disk nonché in ogni altro dispositivo informatico, l’obbligo di indicare dove sono conservati i documenti d’interesse nonché l’obbligo di fornire ogni informazione richiesta indipendentemente dal fatto che i documenti o le informazioni siano tenute in luoghi diversi o da soggetti diversi dal titolare quali responsabili del trattamento. Le ispezioni inoltre vanno ben gestite da un punto di vista emotivo e vanno preparate adeguatamente e professionalmente. Il primo soggetto che viene coinvolto nell’ispezione è il titolare del trattamento e trovarsi davanti un soggetto che alla richiesta del registro del trattamento si trova totalmente “spaesato” e impreparato, che non conosce di cosa si stia parlando sicuramente fa un’impressione non positiva.

Al contrario occorre adattarsi al soggetto che si ha davanti, porsi sempre come un punto di riferimento, dimostrare di essere preparati e pronti alle domande che possono essere fatte, mantenendo costantemente concentrazione, attenzione e lucidità. Occorre non parlare troppo, limitarsi a produrre unicamente quello che viene chiesto. Più si parla e più si rischi di ampliare il parametro dell’indagine. Occorre fare solo dichiarazioni e affermazioni che possono essere provate. Evitare di dichiarare il falso o di omettere volutamente le informazioni che vengono richieste.

Cosa possono fare gli ispettori

Gli ispettori possono accedere agli uffici o luoghi dove dev’essere svolta l’ispezione dalle 7 alle 20 e questo anche per diversi giorni e richiedere ogni documento e/o informazione oggetto della verifica. Possono anche apporre i sigilli su database e documenti. I funzionari dell’Autorità possono svolgere interrogatori ai quali occorre rispondere in modo corretto, chiaro e non evasivo. Le risposte devono far riferimento il più possibile alle procedure adottate in modo da evitare risposte generiche.

Piuttosto che fare affermazioni avventate e che non possono essere provate riservarsi di fornire, anche successivamente, chiarimenti e/o risposte nonché documentazione più dettagliata. Ricordiamoci che gli interrogatori possono essere registrati dagli ispettori.

Cosa non possono fare

Non possono cercare documenti che non hanno alcun collegamento con l’oggetto dell’ispezione. Richiedere e pretendere l’originale dei documenti. Bisogna sempre consegnare soltanto copie dei documenti e degli atti oggetto dell’ispezione. Inoltre non possono effettuare interviste e svolgere domande non pertinenti né rilevanti per l’oggetto dell’ispezione.

Eventuali informazioni assunte che esulino dall’oggetto dell’indagine potranno essere debitamente impugnate con le modalità consentite dalla legge. Gli ispettori non sono tenuti a porre domande che non hanno attinenza con l’ispezione.

Come avviene un’ispezione

Ecco passo per passo tutte le fasi dell’ispezione.

  1. All’avvio dell’ispezione gli incaricati interni delle aree coinvolte dovranno coinvolgere il DPO – se presente – e/o il legale di riferimento. La prima cosa da fare è richiedere l’autorizzazione e verificarla, dare il via all’ispezione, tenere un registro dell’ispezione – che andrà predisposto precedentemente – rivedere e siglare il verbale. Il legale rappresentante – o il soggetto appositamente delegato – dovrà necessariamente essere a disposizione al fine di poter sottoscrivere il relativo verbale.
  2. Occorrerà aver predisposto, precedentemente, una check-list di accountability che elenchi tutta la documentazione, le procedure, i processi e le misure di sicurezza adottate all’interno della realtà aziendale.
  3. In un’ottica di accountability occorre elencare tutte le misure organizzative e tecniche adottate all’interno della realtà aziendale; creazione di flussi interni per la raccolta evidenze (attività svolte dal DPO, audit privacy svolti presso l’azienda, esercizio dei diritti degli interessati, tenuta dei vari registri, raccolta dei consensi, procedura e registro data breach).

Bene individuare alcune misure organizzative:

  • Adozione del modello organizzativo privacy (M.O.P) nella quale vengono racchiuse tutte le scelte effettuate in ambito privacy e dal quale si desume la struttura e l’organizzazione dell’azienda;
  • Registro dei trattamenti mettendone a disposizione copia dello stesso (art. 30 GDPR); il registro dei trattamenti, solitamente, è il primo documento che chiedono i funzionari del Garante. Fortemente consigliabile l’adozione anche al di fuori dei casi in cui la tenuta dello stesso non sia obbligatoria;
  • Informative di cui agli art. 13 e 14 del GDPR mettendo a disposizione copia della relativa documentazione;
  • Consensi eventualmente prestati dagli interessati indicando se e con quali modalità è stato raccolto ai sensi degli artt. 7 e 8 del GDPR, con particolare riferimento ai soggetti minori o soggetti vulnerabili nonchè all’uso dei dati a fini promozionali mettendo a disposizione copia della relativa documentazione; nel caso di consenso raccolto tramite siti web occorrerà essere in grado di dimostrare la raccolta del consenso;
  • Distribuzione dei compiti in tema di trattamento dei dati personali ai vari soggetti quali DPO, incaricati interni, responsabili esterni, amministratore di sistema nonché eventuali atti di co-titolarità e/o di titolarità autonoma qualora presenti;
  • Eventuale designazione dei responsabili esterni (e/o sub responsabili) del trattamento con acquisizione del relativo contratto e designazione ai sensi dell’art. 28 GDPR che andrà messo a disposizione in copia;
  • Eventuale nomina del DPO in relazione agli artt. 37 e ss. GDPR;
  • Soggetti autorizzati e/o incaricati ad accedere ai dati personali oggetto del trattamento ai sensi dell’art. 29 del GDPR e copia degli atti di nomina ad incaricati del trattamento;
  • Documentazione relativa alla formazione degli incaricati mettendo a disposizione copia dei verbali di formazione e/o degli attestati con i relativi programmi svolti;
  • Individuazione delle piattaforme tecnologiche utilizzate per trattare i dati personali, precisando se le stesse sono gestite direttamente o da soggetti terzi;
  • Nel caso in cui si venga individuati Responsabili Esterni del trattamento tenere un Registro (Registro del responsabile del trattamento) in cui si indicheranno i nominativi di tutti i soggetti per conto dei quali vengono svolti i trattamenti indicando le tipologie di trattamento dei dati che viene svolto; detto registro va messo a disposizione in copia ai funzionari dell’Autorità;
  • Procedure adottate per l’esercizio dei diritti degli interessati (artt. 15 a 22 GDPR), procedura data breach (con il relativo Registro Data Breach), le procedure di privacy by design, procedure di gestione di terze parti, procedure Data Retention;
  • Procedure relative ai sistemi informativi – anche con riferimento al personale interno – nonché l’adozione di procedure tese a disciplinare il trattamento dei dati raccolti tramite il sistema di videosorveglianza o tramite la geolocalizzazione;
  • Procedura interna per la gestione delle ispezione che individui i soggetti designati da contattare in caso di ispezioni;
  • Valutazione dei rischi effettuata (Risk Assessment) ed eventuale DPIA (Data Protection Impact Assessment) mettendone copia a disposizione dei funzionari;
  • Elenco delle società in nome e/o per conto delle quali vengono effettuate le chiamate promozionali e, per ciascuna di esse fornire il numero di utenti contattati negli ultimi sei mesi e dei relativi contratti stipulati per l’effettuazione di campagne a carattere commerciale; detto elenco e detti contratti vanno messi a disposizione in copia ai funzionari dell’Autorità;
  • Fasi operative per la gestione delle liste dei numeri da contattare, indicando tutti i passaggi tecnici per il caricamento delle liste sui sistemi di chiamata;
  • Fonte di acquisizione delle liste dei destinatari delle chiamate telefoniche oltre alla check list con il Registro delle opposizioni dei dati di diversa origine della data e delle modalità di ottenimento consenso, con particolare riferimento al trattamento per fini di marketing;
  • Eventuali certificazioni ottenute.

Necessarie anche le misure tecniche ai sensi dell’art. 32 del GDPR

  • Eventuale pseudonimizzazione e cifratura dei dati personali;
  • Capacità di assicurare la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi del trattamento;
  • Capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;
  • Una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche ed organizzative al fine di garantire la sicurezza del trattamento;

In particolare occorrerà indicare tutte le misure adottate per accedere alle banche dati o alle varie cartelle presenti (username e password – modalità di autenticazione); Backup effettuati e modalità con cui vengono effettuati; Antivirus presenti; Eventuali alert implementati sui sistemi. A tal fine sarebbe opportuno acquisire dall’amministratore di sistema e/o dal responsabile esterno del trattamento una relazione sullo stato dei sistemi (gap analysis) nonché un piano di implementazione sulle misure da attuare.

L’importanza degli audit e del monitoraggio

È inoltre importante effettuare sistematicamente degli audit sia internamente che esternamente, anche presso eventuali responsabili esterni del trattamenti, al fine di verificare l’adozione delle misure tecniche di cui all’art. 32 del GDPR. Fondamentale il monitoraggio costante e sistematico dei processi attuati ed implementati all’interno dell’azienda: è importante svolgere diverse sessioni di audit privacy presso l’azienda o presso soggetti esterni al fine di verificare l’effettiva implementazione dei processi adottati in tema di trattamento dei dati personali.

Sarebbe infine molto utile eseguire un’apposita formazione ai dipendenti su come gestire un’ispezione nonchè effettuare delle “prove di ispezione” a sorpresa.

Conclusioni

Di certo “subire” un’ispezione non fa piacere a nessuno ma prepararsi adeguatamente e preventivamente può certamente aiutare ad affrontarla con maggiore serenità, attenzione e preparazione.

Le regole affinché un’ispezione abbia esito positivo sono l’essere preparati e afferrati sulla materia e sulla documentazione adottata, il non improvvisare, restare calmi e mantenere lucidità durante tutta l’ispezione e rispondere con competenza e professionalità alle domande che vengono poste.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5