Secondo piano ispettivo 2019: sicuri di essere pronti?

Il 2019 è stato il primo anno vissuto integralmente con gli adeguamenti privacy in seguito all’entrata in vigore del Regolamento Europeo avvenuta lo scorso maggio.

Le novità non sono di certo mancate e terminate: abbiamo assistito a diverse prese di posizione per la protezione e tutela dei dati personali, ma procediamo per gradi.

Il Garante ha definito, attraverso la deliberazione del 14 febbraio 2019 il primo piano ispettivo, in cui è stato annunciato il programma delle ispezioni di ufficio pianificate nel primo semestre dell’anno – da gennaio a giugno- e le aree di intervento.

Istituti bancari, società di marketing, enti pubblici possessori di banche dati di notevoli dimensioni, soggetti che svolgono profilazione: un breve elenco che riassume le realtà più interessate.

In attesa di conoscere la prossima attività ispettiva programmata è bene svolgere un’autoanalisi per capire se abbiamo le carte in regola per poter affrontare le insidiose domande della Guardia di Finanza, organo incaricato.

Che cosa possiamo fare in vista del nuovo piano ispettivo?

L’esperienza maturata ci permette di fornire alcune piccole pillole per poter prepararsi al meglio ad un’ispezione: ordine nella documentazione, formazione del personale adibito al trattamento e informazione interna aziendale.

La documentazione predisposta dal Titolare del trattamento, anche con l’aiuto di un valido consulente, deve essere ben catalogata. Si sa, l’accountability impone una mole documentale di non poco conto. Destreggiarsi tra registro dei trattamenti, lettere di incarico, informative, valutazione di necessità e proporzionalità non è agevole in tempi non sospetti, figuriamoci in sede ispettiva.

Tentennare invano alla ricerca dei contratti di nomina dei responsabili del trattamento debitamente sottoscritti non costituisce sicuramente un buon biglietto da visita.

Dovete far capire che la protezione dei dati personali è al centro delle vostre preoccupazioni e che ve ne siete occupati e preoccupati già da tempo.

L’importanza della documentazione privacy

L’ordine e la catalogazione aiutano a fornire celermente ed agevolmente una risposta pronta. Meno “intoppi” da affrontare permettono una maggiore serenità durante l’ispezione.

È per questo che raccomandiamo una check-list che elenchi tutta la documentazione di cui vi siete dotati nel corso del tempo: lettere di nomina, contratti dei responsabili, informative, prove dei consensi prestati, procedure (data breach/diritti degli interessati), misure di sicurezza, piano formativo, attestati di formazione, organigramma privacy etc. Scegliete il metodo che più aggrada, digitale o cartaceo, purché seguiate la logica “privacy”.

Che cos’è una checklist? È una lista di controllo, dove da un qualsiasi elenco di cose da fare o da verificare, si procede per eseguire una determinata attività.

La spunta degli elementi è il metodo più comune e più semplice, nonché sicuro per portare a termine attività che prevedono molti passi e che richiedono una particolare attenzione.

In termini privacy, è un documento che permette di raggiungere l’obiettivo finale. Può essere utilizzata quando non si ha ancora raggiunto il traguardo previsto oppure in fase preparatoria in cui si forma un elenco di attività da programmare.

Nel nostro store le checklist sono costruite sia per la fase ante (pianificazione e programmazione) sia per la fase post (analisi, verifica e correttivi).

Come applicarsi nella quotidianità

Come iniziare a ragionare in previsione dell’ispezione. Innanzitutto, fare chiarezza: è importante non confondere i soggetti interni al Titolare da quelli esterni.

Iniziamo con una prima direttiva fondamentale. Non mischiate le lettere di nomina ad autorizzato al trattamento oppure la delega del designato ex d.lgs 101/2018 con i contratti di nomina a responsabile del trattamento o, ancor peggio, con le informative.

Si tratta di documenti concettualmente distinti che rispondono ad esigenze normative diverse: con le lettere o contratti di nomina il Titolare fornisce ai soggetti interni o esterni istruzioni su come trattare i dati personali.

Con l’informativa si adempie all’obbligo comunicativo ex art. 13 e 14 del GDPR nei confronti dell’interessato.

L’importanza della formazione per l’adeguamento al GDPR

Potete capire che per avere la capacità di discernere e catalogare i documenti privacy è necessario aver ricevuto debita formazione. La distribuzione dei compiti deve essere prefissata e, ancor meglio, cristallizzata in un organigramma che testimoni la struttura e l’organizzazione aziendale.

La formazione, oltre ad essere un obbligo di legge (art. 29 del GDPR), è utile per affrontare con maggiore serenità le insidiose domande dell’autorità ispettiva che non si limiterà ad un’indagine superflua.

Al pari della formazione è importante l’informazione trasversale tra i vari livelli aziendali. Ricordiamoci che la maggior parte dei data breach occorsi fino ad oggi deriva da errore umano pertanto rendere edotto l’intero entourage aziendale di cosa significhi incidente di sicurezza dei dati e cosa sarà necessario fare qualora venga subisto uno potrà cambiare le sorti dell’intera società che, in un momento di particolare vulnerabilità, si troverà a far operare un personale che conoscerà gli step da seguire.

Investire su sé stessi costituisce la chiave di volta per fuorviare inutili ansie pre e post ispezione.

Il team di Mondo Privacy è qui per sollevarti da tutto ciò preparandoti con la opportuna documentazione ed i preziosi consigli di uno staff sempre aggiornato!

CONTATTACI!