compliance

Garante Privacy, piano ispezioni 2022: tutti i consigli per prepararsi

Per il primo semestre 2022 il Garante privacy, che ha appena pubblicato il piano delle ispezioni, prevede sessanta attività programmate fino a giugno, che saranno svolte dal Nucleo Speciale Tutela Privacy e Frodi Informatiche della Guardia di Finanza: ecco come affrontare le verifiche

02 Feb 2022
R
Paola Righetti

DPO certificato, Consulente Privacy e Cybersecurity

Il Garante per la protezione dei dati ha pubblicato il piano dell’attività ispettiva relativa al periodo gennaio – giugno 2022. Le attività verranno svolte in collaborazione o direttamente delegate al Nucleo Speciale Tutela privacy e frodi informatiche della Guardia di Finanza; oltre alle attività programmate il Garante ed il Nucleo Speciale, possono condurre ulteriori attività ispettive a seguito di segnalazioni o di reclami.

Truffe telemarketing: la Finanza sgomina banda, ecco come riciclava dati personali

Ispezioni Garante privacy, cosa si deve accertare

Per questo primo semestre le attività ispettive programmate saranno 60 e avranno come oggetto:

a) gli accertamenti nei confronti di profili di interesse generale per categorie di interessati nell’ambito di:

  • trattamenti di dati personali svolti da “fornitori di database”;
  • trattamento di dati personali svolti da piattaforme e siti web in ordine alla corretta gestione dei cookies;
  • trattamento di dati personali nel settore della c.d. “videosorveglianza”;
  • trattamento di dati personali da parte di siti di incontri;
  • trattamento di dati personali da parte di operatori dell’ambito della c.d. “data monetization”;
  • trattamento di dati personali da parte di produttori e distributori di smart toys;
  • trattamento di dati personali da parte di algoritmi e intelligenza artificiale in ambito pubblico e privato;

b) gli accertamenti nei confronti di soggetti pubblici e privati, al fine di verificare l’osservanza delle disposizioni in materia di protezione dei dati personali, con particolare riferimento

dal 14 al 17 giugno 2022
FORUM PA 2022. Cybersecurity: rafforzare la difesa della PA e del paese
Sicurezza
Cybersecurity
  • alla corretta individuazione dei titolari e dei responsabili del trattamento, anche in relazione all’utilizzo di app. e altri applicativi informatici;
  • all’acquisizione di informazioni e dati personali da parte di app istallate sugli smartphone
  • alla verifica sul corretto trattamento dei dati da parte di app diverse da Verifica C19.

Ispezione privacy, i consigli per farsi trovare pronti

Se la Guardia di Finanza dovesse fare un’ispezione nella tua azienda, sapresti cosa fare? Come prima cosa si deve contattare il proprio DPO, se nominato. Sarà infatti il DPO che agevolerà il confronto tra Titolare del trattamento e la Guardia di finanza nei controlli; la presenza del DPO è inoltre fortemente consigliata anche dal Garante Privacy. E chi non ha un DPO? Può farsi assistere dal proprio referente privacy interno o dai consulenti privacy che lo assistono.

Durante l’ispezione verranno richieste alcune prove documentali a dimostrazione del principio di Accountability del Titolare del trattamento.

Tali documenti dovranno essere sempre aggiornati, così come richiesto dall’art.24 del GDPR “1. Tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento. Dette misure sono riesaminate e aggiornate qualora necessario.”

I documenti necessari

Tra i documenti da produrre nel corso di un’ispezione troviamo:

  • Il registro dei trattamenti del Titolare del trattamento, e se del caso, anche quello del Responsabile ai sensi dell’art. 30 GDPR, anche se l’organizzazione non è tenuta a dotarsene (vedi ad esempio le società con meno di 250 dipendenti). Per capire quando è necessario compilare il Registro delle attività di Trattamento, consiglio di far riferimento alle FAQ del Garante Privacy sul registro dei trattamenti;
  • il set documentale relativo alla struttura organizzativa definita, con riferimento a funzioni, compiti e responsabilità assegnate in materia di protezione dei dati personali (i.e. organigramma privacy, autorizzazioni ad accedere ai dati personali, istruzioni sul trattamento, nomina ad amministratore di sistema);
  • le procedure implementate per gestire situazioni quali il verificarsi di un data breach e la ricezione di una richiesta di esercizio dei diritti da parte degli interessati;
  • I vari registri relativi a
    • Violazioni di sicurezza sui dati personali (comunemente chiamato Registro Data Breach);
    • Audit GDPR programmati e svolti;
    • Formazione svolta e piano di formazione pluriennale;
    • Richieste degli interessati
  • le informative sui trattamenti di dati personali svolti dall’organizzazione, con riferimento non solo al contenuto delle stesse, ma anche alla modalità con cui vengono rese agli interessati; la modalità di acquisizione dei consensi, ove applicabili; la valutazione dei legittimi interessi ove vi siano trattamenti basati su tale condizione di liceità;
  • gli atti sottoscritti ai sensi dell’art. 28 GDPR con i Responsabili del trattamento ed eventuali attività di audit svolte sugli stessi;
  • l’atto di designazione del DPO o in assenza il documento di valutazione circa la decisione di non designarlo;
  • l’analisi dei rischi e valutazioni di impatto (DPIA) svolte, con particolare riferimento ad attività di marketing e profilazione, e le misure di sicurezza implementate in base ai rischi individuati;
  • le valutazioni svolte ovvero le regole implementate per determinare i periodi di conservazione dei dati o i criteri per individuarli.

Queste sono le documentazioni da mostrare nel caso di verifica generale della conformità al GDPR, ma sappiamo bene che il Regolamento Europeo si basa sull’accountability del titolare e sulla sua capacità di implementare misure di sicurezza adeguate per proteggere i dati personali.

Documentazione per casi specifici

Nel caso specifico di queste ispezioni, il suggerimento è aggiungere tra la documentazione da mostrare anche la seguente:

  1. Documentazione tecnica sulle misure di cifratura o pseudonominizzazione applicate ai database dei dati personali;
  2. Documentazione relativa alla gestione dei cookie per dimostrare che rispettano quanto richiesto nelle “Linee Guida del Garante Privacy sui cookie e gli altri strumenti di tracciamento”;
  3. Per quanto riguarda l’attività di Videosorveglianza, dal momento che questa rientra tra le attività per cui il garante ha redatto l’elenco delle tipologie di trattamento ai sensi dell’art. 35, par. 4 da sottoporre a valutazione d’impatto, è necessario aver fatto la DPIA e mostrarla durante l’ispezione.
  4. Documentazione relativa ad una valutazione sul Trasferimento di Dati Extra-UE, qualora si utilizzino software non europei ed in particolare software americani. In questo caso è necessario poter dimostrare la conformità del software al GDPR, e le politiche di adeguatezza implementate dalla società estera.

Ovviamente quelle su indicate sono solo alcune tra le diverse prove documentali che possono essere prodotte dal Titolare del trattamento.

@RIPRODUZIONE RISERVATA

Articolo 1 di 3