Ispezione del Garante Privacy: le buone regole per gestirla correttamente

Per gestire correttamente in azienda un’ispezione da parte del Garante Privacy è opportuno non farsi cogliere impreparati, individuare ex ante i soggetti preposti a relazionarsi con gli ispettori e definire una sorta di procedura da seguire nel caso concreto. Ecco la guida pratica

L’ispezione del Garante Privacy (l’Autorità di controllo in materia di protezione dei dati personali) viene vissuta con ansia da parte dell’azienda o dell’ente che la subiscono.

In tanti hanno scritto al riguardo e molteplici sono le indicazioni fornite dalla Guardia di Finanza e in particolare dal Comandante del Nucleo Speciale Tutela Privacy e Frodi Tecnologiche nei suoi interventi ai convegni e nelle sue interviste ^{^[1]}.

Non vogliamo ripetere quanto già ampiamente studiato, ma sottolineare come sia opportuno non farsi cogliere impreparati, individuare ex ante i soggetti preposti a relazionarsi con gli ispettori e definire una sorta di procedura da seguire nel caso concreto^{^[2]}.

Ed ecco in pochi punti cosa è necessario/opportuno fare.

Adempimenti di compliance GDPR: cosa devono sapere le aziende

Indice degli argomenti

Costituzione e formazione del team ispezioni

In primo luogo, riteniamo indispensabile nominare il c.d. team ispezioni. In sostanza deve essere individuato e formalizzato un team interno strutturato e pronto a prestare assistenza qualificata nel momento dell’ispezione del Garante Privacy (e anche successivamente)^{^[3]}.

I componenti di base, a parere di chi scrive, dovrebbero essere:

il responsabile dell’ufficio legale;
il privacy manager;
il DPO;
il responsabile delle risorse umane;
il risk management;
il responsabile dell’IT;
un membro dell’internal audit;
il responsabile della comunicazione interna ed esterna;
il consulente privacy dell’azienda.

Queste figure, ognuno con la sua specifica e peculiare competenza, sono fondamentali per gestire l’ispezione nelle sue diverse fasi.

Il team deve essere opportunamente e specificatamente formato in relazione almeno ai seguenti punti:

poteri dei funzionari nel corso di un “dawn raid”;
oggetto delle ispezioni;
modalità di gestione delle ispezioni;

Quanto al primo punto, il team deve essere consapevole dei poteri degli ispettori che, in particolare, possono:

controllare, estrarre ed acquisire copia dei documenti, anche in formato elettronico;
richiedere informazioni e spiegazioni;
accedere alle banche dati ed agli archivi;
acquisire copia delle banche dati e degli archivi su supporto informatico^{^[4]}.

Le ispezioni possono essere “annunciate” dal Garante o dalla Guardia di Finanza tramite una comunicazione, spesso solo il giorno prima dell’arrivo, oppure possono avvenire a sorpresa ed è per questo che risulta fondamentale essere preparati.

Nel caso in cui la comunicazione venga fatta in anticipo, solitamente a mezzo PEC, è opportuno che il soggetto deputato alla lettura e allo smistamento delle comunicazioni aziendali via e-mail sappia come comportarsi ed avverta subito i vertici aziendali e il DPO, in modo da prepararsi all’arrivo degli ispettori.

Sistema di data protection: la documentazione da produrre, aggiornare e conservare

Quanto al perimetro dell’ispezione questo è individuato da un documento che viene notificato al momento dell’accesso in sede: si tratta della “richiesta di informazioni” con cui il Garante domanda come siano stati assolti determinati obblighi legislativi o regolamentari in materia di protezione dei dati personali.

Sulle modalità di gestione delle ispezioni si rinvia a quanto indicato nei paragrafi successivi.

In secondo luogo, nella fase di formazione/preparazione del team è necessario stabilire con il responsabile dell’IT e delle risorse umane quale postazione utilizzare, come e con quali modalità consentire agli ispettori esterni di fare fotocopie o scansioni o copie su chiavette USB/CD/DVD, ove soprattutto questo non sia consentito ai dipendenti.

In terzo luogo, per facilitare l’accesso alla documentazione da parte degli ispettori si ritiene opportuno creare una cartella condivisa tra i soggetti del team (ed anche ad altri previamente individuati) in cui siano salvati i documenti che devono essere resi disponibili all’ispezione e, in particolare:

organigramma: struttura ed organizzazione della società;
distribuzione delle funzioni in materia di protezione dei dati personali;
registro delle attività di trattamento dei dati – art. 30 del GDPR;
nomine dei responsabili del trattamento -e sub responsabili – art. 28 del GDPR;
nomine autorizzati/incaricati e relative istruzioni – art. 29 del GDPR;
nomine amministratori di sistema;
formazione svolta per gli autorizzati al trattamento dei dati e relativo materiale;
nomina del Data Protection Officer – art. 37 del GDPR o motivazioni della omessa nomina;
informative rese ai sensi dell’art. 13 e 14 del GDPR e modalità con cui vengono fornite;
consenso dell’interessato – art. 7 del GDPR e modalità acquisizione;
registro dei data breach – artt. 33 e 34 del GDPR;
registro e procedure esercizio dei diritti;
misure di sicurezza;
relazione DPIA;
pareri del DPO;
privacy policy;
privacy policy by design e by default;
data retention policy – art. 18 del GDPR;
risultati eventuali audit periodiche;
report (diritti/data breach)
ogni altro documento o procedura in materia.

Infine, risulta opportuno individuare già preventivamente la sala o stanza dove far accomodare gli ispettori al loro arrivo, dotarla di un collegamento per PC, telefono, stampante e via dicendo.

Non è necessario dedicare una stanza ad hoc, ma stabilire quali di quelle disponibili sia idonea per il tempo necessario alle attività ispettive.

DPO as a Service: cos’è, cosa offre, i vantaggi per l’azienda

Ispezione del Garante Privacy: l’arrivo degli ispettori

Generalmente, se si tratta di una azienda, gli ispettori si presentano direttamente alla reception. Sia che sia stata preannunciata la visita, sia che avvenga a sorpresa, il personale che si trova all’accoglienza (come abbiamo visto previamente istruito) deve procedere a:

annotare i nomi dei funzionari;
fornire l’opuscolo per i visitatori con la relativa informativa privacy;
fornire un badge (ove utilizzato in azienda) a ogni ispettore/funzionario;
avvertire il privacy manager e il DPO;
far firmare il foglio di entrata;
far accomodare gli ispettori nella sala o stanza che, come abbiamo visto, è stata previamente individuata.

A questo punto andrebbe appeso sulla porta della stanza un cartello di divieto di ingresso da parte dei dipendenti non coinvolti durante le ore dell’ispezione (es: riunione in corso – non disturbare).

All’arrivo del privacy manager (e possibilmente anche del DPO) si procede con il controllo del provvedimento che autorizza l’ispezione.

Nel contempo deve essere convocato il team.

In questa fase risulta molto importante coordinare la comunicazione interna ed esterna dell’azienda:

lato interno si devono informare i dipendenti che è iniziata l’ispezione, che è necessaria la collaborazione di tutti e che deve essere mantenuta la confidenzialità sulla stessa (circostanza che dovrebbe essere già nota ai dipendenti a seguito della formazione privacy) e, qualora non fosse stato fatto, avvertire i vertici aziendali;
lato esterno, ci si deve accertare che non vengano rivelate informazioni circa l’ispezione e gestire la comunicazione in caso di società controllate e/o controllanti.

Ispezione del Garante Privacy: le fasi

A questo punto inizia la vera e propria fase dell’ispezione.

Il team ispezioni (tutto o in parte) presenzia alle attività di ispezione, fornendo completa assistenza direttamente o tramite il dipendente più idoneo a rispondere alle domande dei funzionari, predisponendo la documentazione richiesta (anche tramite la cartella opportunamente creata).

L’esecuzione dell’obbligo di collaborazione implica il dovere di fornire l’accesso a documenti cartacei ed elettronici contenuti in computer, hard disk e in ogni altro dispositivo informatico, l’obbligo di indicare dove sono conservati i documenti d’interesse, nonché l’obbligo di fornire ogni informazione richiesta indipendentemente dal fatto che i documenti o le informazioni siano tenute in luoghi diversi o da soggetti diversi dal titolare quali responsabili del trattamento.

È in ogni caso preferibile fornire le copie dei documenti e non gli originali, laddove possibile (se fosse necessario fornire l’originale di documenti, assicurarsi di conservare una copia).

È molto importante verificare con attenzione che non vengano presi documenti non pertinenti all’oggetto dell’ispezione (cartacei e digitali) o eccessivi rispetto a quanto legittimamente richiesto e preparare, in ogni caso, una lista/elenco di tutto il materiale fornito/prelevato.

Poiché le ispezioni durano mediamente 2-3 giorni, se alla sera del primo giorno l’ispezione non è terminata, verranno apposti i sigilli da parte degli ispettori sulle porte delle stanze interessate.

È fondamentale non rimuoverli ed anzi, e qui torna in gioco la comunicazione, si devono avvertire tutte le persone coinvolte – i dipendenti, lo staff delle pulizie, la sicurezza ecc. – di non rimuovere i sigilli. Si suggerisce anche di fotografare i sigilli in modo da avere la certezza che non siano stati manomessi.

Fine dell’ispezione del Garante Privacy

Una volta terminata l’ispezione, prima che gli ispettori se ne vadano è opportuno rivedere la lista/elenco dei documenti forniti, le minute, i commenti, le opposizioni sollevate nel corso dell’ispezione, concordare con gli ispettori la lista di eventuali aspetti da chiarire 0 documenti da fornire in un momento successivo, sollevare le obiezioni necessarie e assicurarsi che siano registrate.

Si deve chiedere una copia delle note scritte dagli ispettori comprese domande fatte e risposte ricevute.

Prima di sottoscriverlo è necessario rivedere con cura il verbale (eventualmente con l’assistenza del consulente esterno), riservandosi di esaminare la correttezza di quanto dichiarato e facendo vagliare le dichiarazioni messe a verbale in modo da verificare che le stesse non si rivelino controproducenti o contraddittorie ^{^[5]}. Va richiesta una copia del verbale.

Va redatto un rapporto interno relativo alle sedi e agli uffici visitati, ai dipendenti cui sono state rivolte domande, ai documenti consegnati, alle informazioni assunte, in modo da poter ricostruire il quadro completo della situazione. Si tratta di un “adempimento” molto utile per ripercorrere quanto successo e si suggerisce di scriverlo subito dopo la fine dell’ispezione o, comunque, nel più breve tempo possibile, in modo da non omettere qualche elemento importante.

Lato comunicazione si devono informare i dipendenti che l’ispezione è finita e che bisogna continuare a mantenere la massima confidenzialità sull’accaduto e informare i vertici aziendali fornendo un primo immediato feedback dell’esito (e eventuali società controllate e/o controllanti).

Fase post ispezione del Garante Privacy

A questo punto, ricostruito tutto l’iter dell’ispezione, dei documenti forniti, delle risposte alle domande ecc., si può valutare se sussistono o meno i presupposti per impugnare l’ispezione per qualsiasi irregolarità.

Sarebbe altresì utile, in ogni caso, procedere ad un audit interno completo (revisione dei documenti ed informazioni fornite anche verbalmente dai dipendenti) per individuare ed evidenziare eventuali criticità da correggere.

Conclusioni

L’adozione di una specifica “procedura” e la preparazione di un team di persone rende le eventuali ispezioni del Garante Privacy più semplici e facili da gestire sia all’interno dell’azienda sia nei confronti dell’Autorità di controllo che si troverà ad operare in una situazione ben organizzata, in cui ognuno sa quello che deve fare ed è in grado di reperire informazioni e documentazione con professionalità e rapidità, a dimostrazione di quella accountability di cui all’art. 24 del GPDR che costituisce uno dei pilastri del regolamento europeo.

NOTE

Si veda tra i tanti l’intervento al Convegno: Un anno di Regolamento UE 2016/679. La privacy nel settore privato: spunti e riflessioni con esponenti del Garante per la Protezione ei Dati Personali, Unione giuristi di impresa, 9 aprile 2019. Si veda anche di recente Stefano Comellini, GDPR: ispezioni e sanzioni del Garante, Maggioli, 2020. ↑
Cfr. in questo senso Veronica Pinotti, Come affrontare le ispezioni: limiti, accorgimenti e best practice; Bruno Frati, GDPR, in corso le ispezioni del Garante: come arrivare preparati, in Agenda digitale, 5 giugno 2019. ↑
Igino Addari, Vademecum per ispezioni del Garante Privacy. ↑
Cfr. art. 22 par. 6 del Regolamento concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, nonché all’adozione dei provvedimenti correttivi e sanzionatori (articolo 142, comma 5, articolo 154, comma 1, lettera b), e comma 3, articolo 156, comma 3, lettera a), e articolo 166, comma 9, decreto legislativo 30 giugno 2003, n. 196, come modificato dal decreto legislativo 10 agosto 2018, n. 101) e gli art. 157 e 158 del Codice Privacy che riportiamo per completezza:
Art. 157. Richiesta di informazioni e di esibizione di documenti 1. Nell’ambito dei poteri di cui all’articolo 58 del Regolamento, e per l’espletamento dei propri compiti, il Garante può richiedere al titolare, al responsabile, al rappresentante del titolare o del responsabile, all’interessato o anche a terzi di fornire informazioni e di esibire documenti anche con riferimento al contenuto di banche di dati.
Art. 158. Accertamenti 1. Il Garante può disporre accessi a banche di dati, archivi o altre ispezioni e verifiche nei luoghi ove si svolge il trattamento o nei quali occorre effettuare rilevazioni comunque utili al controllo del rispetto della disciplina in materia di trattamento dei dati personali. 2. I controlli di cui al comma 1, nonché quelli effettuati ai sensi dell’articolo 62 del Regolamento, sono eseguiti da personale dell’Ufficio, con la partecipazione, se del caso, di componenti o personale di autorità di controllo di altri Stati membri dell’Unione europea. 3. Il Garante si avvale anche, ove necessario, della collaborazione di altri organi dello Stato per lo svolgimento dei suoi compiti istituzionali. 4. Gli accertamenti di cui ai commi 1 e 2, se svolti in un’abitazione o in un altro luogo di privata dimora o nelle relative appartenenze, sono effettuati con l’assenso informato del titolare o del responsabile, oppure previa autorizzazione del presidente del tribunale competente per territorio in relazione al luogo dell’accertamento, il quale provvede con decreto motivato senza ritardo, al più tardi entro tre giorni dal ricevimento della richiesta del Garante quando è documentata l’indifferibilità dell’accertamento. 5. Con le garanzie di cui al comma 4, gli accertamenti svolti nei luoghi di cui al medesimo comma possono altresì riguardare reti di comunicazione accessibili al pubblico, potendosi procedere all’acquisizione di dati e informazioni on-line. A tal fine, viene redatto apposito verbale in contradditorio con le parti ove l’accertamento venga effettuato presso il titolare del trattamento. ↑
Crf. Igino Addari, Vademecum cit. ↑