Quando e come avvengono le ispezioni in materia di privacy; quali sono i soggetti incaricati per lo svolgimento dei controlli e cosa deve fare un’azienda per farsi trovare pronta.

L’ispezione in materia di privacy è un’attività volta a verificare che i dati personali di cui l’azienda o il professionista è in possesso siano trattati secondo quanto previsto dal Regolamento Europeo 2016/679 (GDPR).

In sede di controllo, gli ispettori andranno a verificare che sia stata rispettata e garantita l’accountability, e cioè che siano state introdotte le misure organizzative e tecniche più adeguate ed efficaci a garantire per la salvaguardia dei dati personali trattati. Accountability significa infatti “responsabilizzazione” dei titolari del trattamento dei dati: il concetto è stato introdotto proprio dal GDPR e alle aziende, in sede d’ispezione, verrà richiesto di mostrare cosa è stato fatto e, se qualcosa non è stato fatto, di dimostrare le ragioni del mancato adempimento (per esempio: la mancata nomina DPO, una mancata o errata tenuta del Registro).

Al termine dell’ispezione verrà valutato se l’azienda o il professionista sottoposti a verifica hanno agito in modo adeguato al regolamento europeo o se invece sono stati omessi e trascurati alcuni degli adempimenti richiesti dal GDPR.

Le ispezioni e i controlli possono avvenire a seguito di segnalazioni fatte al Garante da parte di soggetti interessati, ma possono anche scaturire da un’autonoma iniziativa del Garante, a seguito della propria attività di vigilanza o anche sulla base di controlli programmati.

In Italia, le attività di controllo sono state delegate al Nucleo Speciale Privacy della Guardia di Finanza, ma nei casi di maggior rilievo e gravità le ispezioni possono essere svolte direttamente da funzionari del Garante.

Lo svolgimento delle ispezioni in materia di privacy

I controlli possono essere annunciati ai destinatari della verifica tramite una comunicazione (spesso recapitata con un solo giorno di preavviso), ma possono anche svolgersi “a sorpresa”. Ovviamente, nel caso in cui la verifica sia stata annunciata, è opportuno prepararsi al meglio per ricevere la visita degli ispettori.

Al momento dell’accesso presso la sede dell’azienda o del professionista sottoposti a verifica, gli ispettori (siano essi della GdF o funzionari del Garante) hanno l’obbligo di notificare un documento che perimetra la portata della verifica: questo atto è la richiesta di informazioni con la quale il Garante richiede di mostrare come siano stati assolti determinati obblighi in materia di protezione dei dati personali. Oggetto della richiesta, ad esempio, possono essere il tema del consenso (se debba essere raccolto, e come venga raccolto) o dell’informativa agli interessati, quali misure di sicurezza siano state predisposte, o in quale modo si è scelto di conservare i dati raccolti.

Solitamente, la verifica prende le mosse dall’analisi della documentazione in materia di privacy e, nello specifico:

• registro dei trattamenti;
• informative;
• nomina del Data Protection Officer (DPO);
• nomine dei responsabili del trattamento;
• formazione per gli autorizzati al trattamento dei dati;
• data retention policy;
• DPIA (Data protection impact assessment);
• registro dei data breach.

Ogni verifica in materia di privacy inizierà con l’analisi del registro dei trattamenti, che elenca tutti i trattamenti di dati personali. È fondamentale che il registro sia costantemente aggiornato, che sia completo e che sia verificabile. È altresì assai importante che il registro indichi la data in cui è stato istituito e quella dell’ultimo aggiornamento svolto. Fondamentale, anche per evitare il rischio di incorrere in sanzioni, è che quanto riportato sul registro dei trattamenti corrisponda a quanto indicato nelle diverse informative sulla privacy adottate dall’organizzazione, anch’esse oggetto di verifica in sede di ispezione.

A partire sempre dal registro dei trattamenti, gli accertatori verificheranno la nomina del Data Protection Officer (DPO), se prevista, e le nomine dei responsabili del trattamento.

La nomina “formale” di un DPO non basta a dimostrare la conformità da parte dell’azienda al GDPR. Gli ispettori, in sede di controllo, oltre alla nomina formale del DPO verificheranno infatti la comunicazione dell’avvenuta nomina al Garante, i verbali delle riunioni svolte con il DPO e i report interni sottoposti al DPO: è inoltre opportuno che il DPO – se ne ha la possibilità – partecipi alle operazioni di verifica.

Ulteriore oggetto di verifica sarà lo svolgimento della formazione in materia di privacy erogata al personale autorizzato al trattamento dei dati personali.

Gli ispettori potranno poi verificare come è stata fatta la valutazione d’impatto (DPIA) e, qualora non sia stata predisposta, sarà onere del soggetto sottoposto a verifica dimostrare le ragioni per le quali è stata esclusa. 

Con riferimento al “data breach” è assai consigliabile dotarsi di procedura interna su come gestire una violazione di dati, non solo come misura di protezione necessaria, ma anche per dimostrare in sede d’ispezione di essere “preparati” anche per questa circostanza.

Farsi trovare pronti in caso di controlli

Il modo migliore per essere preparati all’eventualità di un’ispezione in materia di privacy è, senza alcun dubbio, avere già approntato una procedura specifica e far sì che i soggetti coinvolti sappiano come comportarsi. In particolare, è necessario:

• individuare i soggetti che dovranno confrontarsi con gli accertatori, quindi il DPO, gli eventuali consulenti esterni e i responsabili all’interno dell’azienda e fornire loro istruzioni specifiche per far sì che siano d’aiuto agli accertatori;
• fare in modo che la documentazione relativa alla protezione dei dati sia sempre aggiornata e definire in anticipo quali documenti esibire in caso d’ispezione.

La parola chiave accountability spiega infatti perfettamente quale approccio andrà tenuto nel corso delle eventuali ispezioni: le aziende o i professionisti sottoposti ad accertamenti dovranno semplicemente dimostrare cosa è stato fatto per garantire la protezione dei dati e per quali ragioni le scelte compiute erano le più adeguate alle esigenze dell’organizzazione.

Anche in questo caso, rivolgersi ad un consulente esperto in materia può favorire l’elaborazione delle procedure personalizzate necessarie per affrontare al meglio un’eventuale ispezione, scongiurando il rischio di essere sottoposti alle pesanti sanzioni previste dal GDPR e dalla normativa italiana per le violazioni in materia di privacy. Contattaci per verificare il livello di preparazione della tua azienda in caso di controlli e ispezioni: il nostro staff di consulenti certificati con competenze multidisciplinari in ambito normativo, tecnologico e di organizzazione aziendale sarà in grado di aiutarti a mettere ordine e a evitare sanzioni e danni alla reputazione a causa di una inadeguata politica di protezione dei dati.