Con l’avvio dello “Sweep”, l’indagine a tappeto sul rispetto del principio di responsabilizzazione (accountability), lo scorso 20 settembre, entra nel vivo l’attività di ispezioni del Garante Privacy che prevede l’esecuzione di 30 controlli da qui a fine anno.
Il provvedimento con cui si dispone questa prima tranche di ispezioni fa riferimento a criteri di gradualità per questo primo semestre post-GDPR, concentrandosi sui “trattamenti maggiormente rilevanti per dimensioni e concentrazione di dati, nonché per la loro rischiosità”. Inoltre, tiene conto “dei procedimenti ispettivi e sanzionatori in corso al momento dell’adozione della presente deliberazione nonché di quelli avviati sulla base della precedente programmazione e non ancora conclusi”.
Ma chi saranno i trenta che potranno aspettarsi una visita del Garante e/o del Nucleo Speciale Privacy della Guardia di Finanza? A tal proposito, il provvedimento menziona tre diverse tipologie di trattamento che saranno oggetto di controllo:
- trattamenti di dati effettuati da società/enti che gestiscono banche dati di rilevanti dimensioni;
- trattamenti di dati personali effettuati presso istituti di credito relativamente alla legittimità della consultazione e del successivo utilizzo di dati da parte di soggetti aventi diritto, anche in riferimento al tracciamento degli accessi e a correlate misure di protezione;
- trattamenti di dati personali effettuati da società per attività di telemarketing. In generale, poi, verranno verificati i presupposti di liceità del trattamento e le condizioni per il consenso qualora il trattamento sia basato su tale presupposto, il rispetto dell’obbligo di informativa nonché la durata della conservazione dei dati.
Indice degli argomenti
Ispezioni del Garante Privacy: si inizia con i soggetti più “grossi”
Fermo restando che l’Autorità può benissimo avviare ulteriori istruttorie e tenendo bene a mente che per avviare un’istruttoria non è necessario per forza procedere con le ispezioni (anzi, moltissime attività di controllo avvengono senza che l’Autorità metta piede nella sede della società), pare che il Garante intenda partire a controllare i soggetti più “grossi”. Con gradualità.
In teoria, poi, il decreto legislativo 101/2018 stabilisce che “per i primi otto mesi dalla data di entrata in vigore del presente decreto, il Garante per la protezione dei dati personali tiene conto, ai fini dell’applicazione delle sanzioni amministrative e nei limiti in cui risulti compatibile con le disposizioni del Regolamento (UE) 2016/679, della fase di prima applicazione delle disposizioni sanzionatorie”. Premesso che non è chiaro se la norma si debba intendere riferita ai primi otto mesi solari tout court o se sia da interpretare con riferimento alle violazioni accertate nei primi otto mesi, questa disposizione potrebbe avere effetti sui trenta di cui al piano ispettivo luglio-dicembre 2018 oppure no.
Al di là delle considerazioni sopra esposte, è opportuno essere pronti a gestire un’ispezione dell’Autorità garante per la protezione dei dati personali. Qui di seguito alcuni suggerimenti e considerazioni che potranno essere utili per verificare se un’organizzazione è pronta ad affrontare un evento di questo genere.
Come nasce un’ispezione
In generale, gli accertamenti ispettivi possono scaturire a seguito di segnalazioni o reclami dei soggetti interessati oppure su iniziativa del Garante, per conoscere lo stato di attuazione della normativa in determinati settori pubblici e privati.
Pertanto, ove un’organizzazione abbia già ricevuto richieste di informazioni da parte dell’Autorità, questo potrebbe comportare un aumento della probabilità di ricevere una “visita di persona”. La probabilità aumenta ancora di più se le richieste di informazioni si riferiscono all’ambito oggetto del piano semestrale del Garante.
Le attività ispettive sono condotte dal Nucleo Speciale Privacy della Guardia di Finanza. Nei casi più gravi e in cui sono richieste competenze specifiche maggiori, funzionari del Garante procedono personalmente alle ispezioni con o senza il supporto della GdF. Pertanto, sempre in linea generale, laddove l’ispezione sia condotta in prima persona da funzionari del Garante, è legittimo aspettarsi che l’Autorità consideri che la situazione sia già controversa, in tema di rispetto della normativa sulla protezione dei dati personali.
L’ispezione potrebbe portare a una ulteriore emersione di possibili violazioni in materia. Quindi, in un certo senso, la tipologia del soggetto che procede agli accertamenti ispettivi denota un possibile maggiore o minore livello di consapevolezza dell’Autorità che, nei limiti di budget e di personale, deve decidere a quali operazioni (e operatori) dedicare in prima persona le proprie risorse.
Le ispezioni possono essere “annunciate” dal Garante o dalla GdF tramite una comunicazione (spesso solo il giorno prima dell’arrivo) ma possono anche avvenire a sorpresa. Nel primo caso, è opportuno che chi controlla la PEC dell’organizzazione (o il fax, se qualcuno lo usa ancora) si renda conto della serietà della questione e avverta subito i vertici, la funzione legal e/o compliance in modo da prepararsi all’arrivo degli ispettori.
Quale che sia il soggetto ispettore, il perimetro dell’ispezione è individuato da un documento che viene notificato al momento dell’accesso in sede: si tratta della “richiesta di informazioni” con cui il Garante domanda come siano stati assolti determinati obblighi legislativi o regolamentari in materia di protezione dei dati personali. La richiesta di informazioni, per esempio, può includere come venga data l’informativa agli interessati, come venga raccolto il consenso ove necessario, come vengano contrattualizzati i responsabili esterni del trattamento, quali misure di sicurezza siano applicate, per quanto tempo e come vengano conservati i dati trattati ecc.
Ispezioni del Garante Privacy: suggerimenti pratici per le aziende
È opportuno avere una procedura interna affinché siano avvisati i vertici dell’organizzazione e siano già individuati i soggetti preposti alla gestione degli ispettori: il privacy champion (o come viene indicato chi si occupa di questioni data protection ove non sia stato nominato il DPO o ove il DPO sia all’estero), il capo dell’ufficio legale, il capo della funzione compliance, il DPO – per le strutture che ne hanno uno.
È capitato di assistere a situazioni in cui una gestione improvvisata ha portato a una serie di risposte evasive e poco circostanziate.
A proposito di risposte, è molto importante la verbalizzazione di quello che avviene e delle dichiarazioni di cui si desidera lasciare traccia. In tal senso, è consigliabile sempre riservarsi di verificare la correttezza di quanto dichiarato, anche al fine di limitare i rischi di sanzioni penali. Inoltre, è consigliabile che le dichiarazioni a verbale siano vagliate da un legale interno della società o un consulente esterno in modo da verificare che non si rivelino controproducenti o contraddittorie.
A prescindere dalla verbalizzazione, nell’interlocuzione con gli ispettori, ove non si sia sicuri di qualcosa è bene attendere e riservarsi di rispondere successivamente.
Gli ispettori potrebbero essere verosimilmente interessati alla produzione di documentazione rilevante ai fini dell’accesso (informative, contratti, policy ecc.).
Va da sé che maggiore è la compliance privacy dell’organizzazione maggiore sarà la facilità nel reperire la documentazione richiesta e soddisfare le richieste dell’Autorità. In ogni caso, tipicamente sono assegnati 15 giorni (dalla notificazione della richiesta di informazioni e quindi dal primo giorno di ispezione) per l’invio di copia della documentazione richiesta. Pertanto, il mancato soddisfacimento immediato di una (parte della) richiesta dell’Autorità è qualcosa che accade di frequente.
È consigliabile che almeno una delle persone individuate per la gestione dell’ispezione sia presente per tutto il tempo in modo da coordinare i lavori e fare da punto di riferimento sia interno che per gli ispettori. A fine giornata (di solito le ispezioni durano 2-3 giorni) è consigliabile che venga svolto un report interno di cosa è successo, allegando anche copia del verbale e, ove possibile, cosa accadrà l’indomani.
Ulteriori cautele che l’esperienza suggerisce sono le seguenti:
- non rilasciare mai documentazione in originale ma solo copie;
- prendere nota di tutti i documenti (inclusi anche banche dati, archivi, software) visionati dagli ispettori e delle informazioni richieste e fornite;
- farsi rilasciare copia del verbale;
- dimostrarsi collaborativi e non reticenti;
- rilasciare sempre informazioni veritiere e corrette (nel dubbio, non rispondere è meglio che dare informazioni false).
In caso di richiesta di documentazione riservata, è consigliabile verificare di anonimizzare o cancellare le parti che non si desidera mettere a disposizione dell’Autorità (per esempio, i termini economici di un accordo).
Le aziende devono farsi trovare pronte
Considerando che il GDPR impone una nuova prospettiva in cui saranno sempre più fondamentali le valutazioni (assessment) che ciascuna organizzazione avrà svolto e documentato al fine di dimostrare la conformità dei propri trattamenti ai nuovi principi normativi, sarà interessante vedere come saranno strutturati i prossimi accertamenti del Garante e su cosa si concentrerà l’attenzione degli ispettori.
Di fatto l’Autorità Garante, per certi versi, diventerà un “valutatore di valutazioni”. Le organizzazioni saranno sufficientemente responsabilizzate da reggere i prossimi controlli?
