Come noto, le ispezioni del Garante per la privacy sono controlli volti a verificare l’applicazione della normativa in tema di trattamento dei dati personali. Cosa fare in caso di ispezione? Come evitare di farsi trovare impreparati?
In generale, gli accertamenti ispettivi possono scaturire a seguito di segnalazioni, reclami dei soggetti interessati oppure ancora per iniziativa del Garante della protezione dei dati personali.
Il Garante Privacy, per non cogliere impreparati i soggetti passivi, semestralmente approva e pubblica il programma delle ispezioni di ufficio pianificate per i semestri successivi, programma dove vengono definiti gli ambiti e le molteplici aree in cui l’ente si concentrerà per le proprie ispezioni.
Soggetti che partecipano alle ispezioni
Le attività ispettive sono condotte dal Nucleo speciale Privacy della Guardia di Finanza o dai funzionari del Garante, a seconda delle competenze richieste durante l’ispezione.
Solitamente le ispezioni vengono comunicate dal Garante o dalla Guardia di Finanza, ma possono avvenire anche a sorpresa. In ogni caso, però, è fondamentale che chi di competenza avvisi subito i ruoli fondamentali al vertice dell’organizzazione, quali titolare, Privacy Team del DPO, il DPO stesso ed eventuali consulenti esterni.
Sicuramente le autorità che conducono le ispezioni valutano positivamente un atteggiamento di collaborazione durante tutta l’attività di ispezione.
Limiti e peculiarità dell’ispezione
Ancora prima di procedere all’attività di ispezione, l’Autorità di controllo, in fase di accesso alla sede, notifica la richiesta di informazioni che il Garante avanza al fine di verificare in che modo sono stati assolti determinati obblighi in materia di protezione dei dati personali.
È bene ricordare però che, la Guardia di Finanza durante una visita ispettiva in materia fiscale non può effettuare contestualmente attività ispettiva anche in materia di protezione dei dati personali; in caso, potrà solo segnalare eventuali abusi rilevati direttamente al Garante, che in seguito provvederà all’avvio di un accertamento.
L’ispezione può essere eseguita anche senza preavviso, ma è preferibile che l’accertamento venga eseguito con preavviso quando ciò può facilitare le attività ispettive.
Svolgimento dell’ispezione
La durata e lo svolgimento delle ispezioni variano a seconda del singolo caso, ma mediamente le attività si svolgono in tre giornate.
Come prima cosa, è opportuno avere una procedura interna affinché vengano avvisati i vertici dell’organizzazione e siano individuati i soggetti che si occuperanno di collaborare con gli ispettori, come ad esempio il team Privacy, il DPO o altri soggetti preposti a tale ruolo. È consigliabile che almeno una delle persone individuate per la gestione dell’ispezione sia presente per tutto il tempo, in modo da coordinare i lavori e fare da punto di riferimento sia interno che per gli ispettori. A fine giornata è consigliabile che venga elaborato un report interno o redatto un verbale di quanto successo e riscontrato.
Le fasi successive sono la raccolta della documentazione e l’analisi della stessa, che può avvenire attraverso l’approfondimento di aspetti specifici e casi pratici, interagendo con i referenti del Team Privacy.
Si consiglia in ogni caso di verbalizzare le dichiarazioni, verificando sempre quindi la correttezza di quanto dichiarato.
Sicuramente maggiore è la compliance Privacy dell’organizzazione, maggiore sarà la facilità nel reperire la documentazione richiesta dal Garante. Ove non si abbia certezza di qualcosa, però, è bene riservarsi di rispondere successivamente, in quanto non sempre i documenti richiesti sono disponibili al momento dell’ispezione: il titolare o responsabile può eventualmente fornire tale documentazione richiesta dal Garante entro il termine previsto dallo stesso e comunicato in sede di ispezione.
Alla fine dell’attività ispettiva, l’Autorità di controllo rilascia i verbali firmati da entrambe le parti, eventuali richieste di integrazioni e, successivamente, se necessari, i relativi provvedimenti, quali richiami, misure correttive, nonché sanzioni amministrative.
Alcuni utili consigli per affrontare l’ispezione
Il primo consiglio ovviamente è quello di porre in essere tutti gli adempimenti previsti dal Regolamento Europeo, lavorando costantemente e quindi aggiornando ogni qualvolta sia necessario tutta la documentazione propria dell’organizzazione.
Si consiglia di coinvolgere sempre i vertici dell’organizzazione, partendo dal titolare ed estendendo il coinvolgimento ai referenti del Team Privacy del DPO, piuttosto che all’ufficio legale.
È inoltre importante completare e aggiornare tutti i documenti eventualmente richiesti durante l’indagine, facendo attenzione a non rilasciare mai documentazione in originale ma solo in copia, annotando tutti i documenti visionati dagli ispettori e tutte le informazioni richieste e fornite.
Considerando che il GDPR impone una nuova prospettiva in cui saranno sempre più fondamentali le valutazioni (assessment) che ciascuna organizzazione avrà svolto e documentato al fine di dimostrare la conformità dei propri trattamenti ai nuovi principi normativi, sarà interessante vedere come saranno strutturati i prossimi accertamenti del Garante e su cosa si concentrerà l’attenzione degli ispettori.
Team Privacy CGN