
Ispezioni privacy: cose da sapere
25 Maggio 2020
Come vengono programmate le ispezioni del Nucleo Speciale Privacy della Guardia di Finanza? Cosa fare in caso di ispezione? Su cosa vertono i controlli? Come agire e reagire in caso di ispezione? Quali sono punti da tenere bene a mente?
Per rispondere a questi quesiti è necessario delineare il quadro normativo di riferimento.
Partiamo innanzitutto dal Principio di Accountability, principio cardine previsto dall’art. 5.2 del GDPR, che prevede la Responsabilizzazione del Titolare del Trattamento, affinché lo stesso ponga in essere quelle misure e tecniche organizzative adeguate per compiere operazioni di trattamento, nel rispetto dei principi richiamati dal Regolamento Europeo e nel rispetto dei diritti e delle libertà dell’interessato.
Ma come si può mettere in pratica questo principio? Bisogna, innanzitutto, tenere bene a mente i principi di privacy by design e privacy by default illustrati all’art. 25 del GDPR.
Focalizziamoci sul principio di privacy by design: prima di effettuare un determinato trattamento è necessario che lo stesso venga progettato, nel rispetto della tutela dei diritti degli interessati, e che vengano valutati gli effetti che il trattamento potrebbe avere sugli interessati e i rischi che ne potrebbero derivare, affinché sia fatto un bilanciamento di interessi.
Oltre ad essere progettato, il trattamento deve essere mappato, ed opportunamente inserito nel Registro dei Trattamenti previsto dall’art. 30 del GDPR.
Il Registro dei Trattamenti è uno strumento di fondamentale importanza, che permette al Titolare del Trattamento di tenere mappati i trattamenti e che consente di dimostrare la responsabilizzazione del Titolare stesso, in ottemperanza appunto del Principio di Accountabilty.
Il Registro dei Trattamenti è il primo documento che viene chiesto al Titolare del Trattamento in sede di ispezione. I registri, in realtà, possono essere dure: il Registro dei trattamenti svolti come Titolare e l’eventuale Registro dei trattamenti come Responsabile
Il Registro deve essere opportunamente tenuto presso la sede del Titolare, e non deve essere tenuto da soggetti terzi presso altri luoghi.
Come viene programmata l’attività ispettiva?
L’Attività Ispettiva viene programmata su base semestrale attraverso un provvedimento dell’Autorità stessa.
Come indicato nel capo III all’art.21, della Deliberazione del 4 aprile n.1/2019, concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la Protezione dei Dati Personali, l’Autorità può avviare d’ufficio un’istruttoria preliminare per verificare la sussistenza di idonei elementi in ordine a possibili violazioni della disciplina rilevante in materia di protezione dei dati personali.
L’attività ispettiva effettuata ai sensi degli articoli 157 e 158 del Codice Privacy (D.Lgs. 196/2003 così come novellato dal D.Lgs. 101/2018) effettuata da funzionari dell’autorità Garante oppure avvalendosi “dell collaborazione di altri organi dello stato”, normalmente il nucleo speciale della Guardia di Finanza ma anche da altra forza pubblica (Nas, Polizia Locale, …) competente in materia di attività ispettive.
Prima di procedere, viene notificato al Titolare del Trattamento un provvedimento, nel quale si chiedono una serie di informazioni, relativamente alle attività poste in essere dallo stesso.
All’atto dell’Attività Ispettiva, La GDF si presenta con un foglio di servizio, e durante l’attività stessa, è legittimata a consultare e ad acquisire copie di documenti e copie delle banche dati presenti nei sistemi del Titolare del Trattamento. Dell’Attività viene redatto apposito verbale, di cui viene consegnata una copia al Titolare stesso.
Nell’ambito di questa attività bisogna tradurre il termine Accountability in “rendere conto”, rendere conto alla GDF di quello che si è fatto e di quello che non si è fatto, delle misure tecniche e organizzative adeguate che si è posto in essere all’atto della progettazione dei trattamenti. È necessario che il Titolare del Trattamento dia una prova di queste scelte che ha operato, e delle motivazioni che lo hanno condotto a fare una determinata scelta piuttosto che un’altra.
È necessario che il Titolare sia preparato ad una possibile attività ispettiva. E allora come non farsi trovare impreparati?
Quali sono i comportamenti da tenere?
Ecco che servono dei punti da tenere bene a mente:
- Individuare un Referente Privacy (o più in generale un Organigramma Privacy), all’interno dell’organizzazione, che sia in grado di rispondere ad eventuali domande (cfr. Art. 2 -quaterdecies del Codice Privacy)
- Avere il Registro dei Trattamenti, il quale deve essere tenuto presso la sede dell’Organizzazione, affinché possa essere prontamente mostrato e consegnato al Nucleo Speciale Privacy della Guardia di Finanza. In caso di azienda con più sedi è meglio averne una copia in ogni sede.
- Formazione e sensibilizzazione specifica del personale dell’organizzazione che permetta di gestire un eventuale controllo ispettivo con piena consapevolezza
- Attenzione alle dichiarazioni che vengono fatte in sede Ispettiva, le quali vengono poi verbalizzate. È necessario che si abbia piena consapevolezza delle dichiarazioni fatte, affinché non venga dichiarato il falso.
- Essere collaborativi, il che vuol dire rendersi completamente disponibili alle richieste che vengono fatte in modo da aiutare la GFD durante la sua attività
- Avere la consapevolezza, che una volta ci è stato notificato il provvedimento di Ispezione, la GDF ha già acquisito alcune informazioni relative alla nostra realtà, ad esempio attraverso il sito Internet. È perciò inutile e controproducente cercare di “nascondere la polvere sotto al tappeto”.
L’essenza dell’Ispezione è verificare che ci sia una piena consapevolezza, relativamente alla tutela dei dati personali, che il Principio di Accountability, sia pienamente compreso e soddisfatto.
La verifica non verte solo su aspetti formali ma anche su aspetti sostanziali, perciò verranno verificati sia gli aspetti giuridici che quelli tecnologici, andando in profondità dei sistemi informatici.
È necessario non farsi trovare impreparati, ma pronti ad un’eventuale ispezione, e per far ciò è necessario una piena coscienza dell’importanza della tutela dei dati personali, da parte di tutti i componenti dell’organizzazione, a partire dal Titolare del Trattamento.
La tutela dei dati personali deve essere vista come un’opportunità per le aziende, affinché le stesse possano distinguersi e acquistare fiducia agli occhi della clientela.
Anche in assenza di un obbligo si consiglia di avere un D.P.O., anzi un D.P.O. bravo che effettui periodici audit e prepari l’azienda all’attività ispettiva del Garante.