2019-10-Mondo-Privacy-Piano-Ispettivo

Il Garante Privacy svela come vengono svolte le attività ispettive

Il garante privacy suona il campanello della nostra Azienda ed improvvisamente uno stato di agitazione pervade il Titolare ed i suoi collaboratori. Nell’arco di tempo necessario a raggiungere gli uffici dal cancello di entrata, gli incaricati cercano di recuperare l’ormai abbandonato faldone privacy e presi dal panico generale, tentano di individuare uno tra loro disposto ad accogliere l’Autorità. Nonostante i vani tentativi di mantenere la calma, gli ispettori percepiscono lo stato d’animo del personale e rassicurano i presenti.

Come evitare il panico generale e prepararsi adeguatamente alle visite di controllo? 

Lo ha svelato lo stesso Garante privacy stesso, in occasione del Privacy Day tenutosi al CNR di Pisa, il 19 giugno scorso.

Precisiamo sin da subito che le visite ispettive possono essere effettuate dalla Guardia di Finanza su delega del Garante privacy o direttamente dall’Autorità Garante.

Il controllo può avvenire per tre ragioni specifiche:

  • come conseguenza di un reclamo proposto dinanzi all’Autorità;
  • a seguito di un’attività di programmazione approvata dal Garante privacy. Ogni due semestri vengono individuate delle categorie, in riferimento alle pericolosità dei dati, sulle quali si intende effettuare dei controlli.
  • per verificare come viene concretizzato il rispetto del principio dell’Accountability, in specifici settori, non oggetto di indagini passate;

Claudio Filippi, direttore del dipartimento delle attività ispettive del Garante, ha svelato gli aspetti principali oggetto di indagine, durante le ispezioni.

Armatevi di carta e penna e prendete nota, se non volete farvi cogliere impreparati!

Il registro dei trattamenti

Un’importanza significativa viene ricondotta all’analisi del REGISTRO DELLE ATTIVITÀ DI TRATTAMENTO, adempimento contemplato dall’art. 30 dal Regolamento privacy 2016/679, ai sensi del quale:

“Ogni titolare del trattamento e, ove applicabile, il suo rappresentante tengono un registro delle attività di trattamento svolte sotto la propria responsabilità.”

Sebbene l’obbligo di stesura del registro si ponga soltanto in capo alle aziende con un numero maggiore di 250 dipendenti, o nel caso in cui siano trattati dati di natura particolare ex art. 9 del Regolamento privacy 2016/679, che come suggerisce il nome stesso, richiedono delle attenzioni peculiari, il Garante privacy consiglia ugualmente di predisporre il documento in esame, affinché sia palesata l’effettiva contezza del Titolare delle diverse tipologie di dati trattati, delle basi giuridiche di riferimento e in particolare delle misure di sicurezza implementate per garantire la protezione degli stessi.

Il documento prodotto consente di dare evidenza soprattutto dei presupposti di liceità dei trattamenti stessi, così da agevolarne l’attività di verifica. Per tali ragioni il Garante privacy, ritiene poco produttivo per l’Azienda dotarsi di registri di trattamento eccessivamente generici e standard, che non rispecchiano i reali flussi di dati aziendali.

Il documento prodotto consente di dare evidenza soprattutto dei presupposti di liceità dei trattamenti stessi, così da agevolarne l’attività di verifica. Per tali ragioni il Garante privacy, ritiene poco produttivo per l’Azienda dotarsi di registri di trattamento eccessivamente generici e standard, che non rispecchiano i reali flussi di dati aziendali.

Il DPO

In questa prima fase di indagine, che il Garante privacy definisce descrittiva, ruolo fondamentale è rivestito dal DPO, il quale, se presente, è in grado di ricostruire attentamente il flusso dei dati aziendali, le modalità di compilazione del documento stesso e fornire risposte puntuali ed esaurienti.

Essendo il contributo del DPO significativo, al punto da divenire a tutti gli effetti un punto di contatto tra Azienda e Garante privacy, l’Autorità suggerisce di contattarlo immediatamente, non appena la data d’ispezione viene comunicata.

Invero, le ispezioni non sempre vengono annunciate, in alcuni casi viene concesso un congruo preavviso, in altri, avviene a sorpresa.

Il data breach

Tra i consigli forniti dal Garante privacy si individua anche la necessità di disporre di una chiara procedura di gestione Data Breach, che identifichi in maniera puntuale i compiti dei soggetti preposti alla gestione della potenziale violazione dei dati. Questa è una delle mancanze principali che è stata riscontrata nelle visite ispettive effettuate.

Documentazione privacy

Dopo aver analizzato il registro è probabile che gli ispettori richiedano di visionare l’intera documentazione prodotta, dalle informative alle lettere di nomina. Ecco perché è opportuna una classificazione ordinata, facente capo ad una logica precisa, di tutti i documenti che sono stati consegnati e sottoscritti.

Una siffatta gestione documentale è indice di una chiara comprensione della norma stessa e quindi un valore aggiunto all’esito dell’ispezione.

Formazione privacy

Per ultima, ma non per importanza, il Garante privacy richiede di prestare particolare attenzione alla formazione degli incaricati: è necessario predisporre un piano formativo adeguato a tutti i soggetti coinvolti nei vari trattamenti, con evidenza della reale preparazione degli stessi.

 

Questo intervento ha indubbiamente chiarito alcune delle modalità di svolgimento e l’oggetto delle ispezioni, tanto temute dalle aziende.

Siete quindi pronti ad ospitare il garante Privacy?

Barbara Martire

About Barbara Martire

Laureata in Giurisprudenza e certificata Privacy Specialist. Giovane e solare affianca i clienti nelle attività di consulenza e formazione.