Ispezioni del Garante Privacy: sai cosa fare?

Ispezioni del Garante Privacy: sai cosa fare?

Nel 2019 sono state molte le ispezioni del Garante Privacy nelle aziende italiane. Qui sotto spieghiamo come funziona un controllo e come gestirlo al meglio.

Un’ispezione privacy consiste nella verifica della correttezza di tutti i sistemi di acquisizione, archiviazione, protezione, gestione e cancellazione dei dati in azienda. Si tratta di un controllo non solo formale o documentale, ma volto all’effettiva verifica dei flussi di dati gestiti dall’impresa. Può avvenire in seguito a una denuncia o una segnalazione al Garante, oppure d’ufficio.

Lo scopo di questi controlli è accertarsi che i responsabili stiano operando nel pieno rispetto delle normative europee (GDPR) e non stiano tralasciando accorgimenti importanti.

 

Come funzionano le ispezioni da parte del Garante

Durante le ispezioni il Garante può richiedere e acquisire copia di qualsiasi documento, delle banche dati presenti in azienda e accedere agli archivi dati dell’impresa.

Le fasi principali dell’ispezione riguardano in genere:

  • La verifica della nomina dei responsabili che si occupano della gestione privacy in azienda, e della loro corretta adesione al ruolo
  • L’analisi del registro dei trattamentei, obbligatorio per tutti i soggetti giuridici
  • La verifica delle istruzioni fornite al personale responsabile e al personale interessato, e della loro corretta applicazione
  • La verifica dell’applicazione delle norme privacy fondamentali, come la limitazione dei dati trattati (che dovrebbero essere il minimo indispensabile a fornire il servizio), la crittografia dei dati detenuti in azienda etc.
  • La verifica della gestione di eventuali data breach e violazioni, e la corretta compilazione del registro dedicato. A partire dal 2019, il corretto utilizzo del modulo di notifica di violazione dati.

Ispezioni del Garante Privacy: sai cosa fare?

Chi è coinvolto

A rispondere alle domande del Garante durante le ispezioni saranno il datore di lavoro, formalmente obbligato a nominare i responsabili privacy in azienda, a formarli e a verificare che le operazioni svolte internamente sui dati siano conformi alle normative europee del GDPR, e i responsabili del trattamento.

Dovranno spiegare, ad esempio, i modi concreti di applicazione del regolamento (ad es. quali sistemi informatici di sicurezza vengono usati per la protezione dei dati conservati) e come vengono rispettati i 6 principi fondamentali del GDPR:

  • Minimizzazione dei dati raccolti
  • Limitazione dello scopo della raccolta
  • Integrità e riservatezza dei dati raccolti
  • Chiarezza e trasparenza della modalità e finalità del trattamento
  • Limitazione temporale della conservazione dei dati

Durante l’ispezione il Garante può acquisire prove di tutte le fasi svolte fino a quel momento.

 

Cosa viene approfondito durante un’ispezione

Oggetto di approfondimento sono di solito i sistemi informatici e la loro gestione da parte dei responsabili. Vengono valutate le modalità di acquisizione dei dati, il loro trasferimento nei server dell’azienda o del provider, gli accorgimenti attivati per la loro protezione (ad es., chi ha accesso ai dati in azienda e per quali scopi, e quali limitazioni sono previste a loro tutela).

Un’altra fase dell’ispezione può riguardare le finalità di marketing della raccolta e del trattamento dei dati. Come prima cosa viene verificato il consenso fornito dall’utente, la sua validità e la sua non manipolabilità da parte di terzi. Si passa poi alla verifica del trattamento, per accertare la corretta e sicura conservazione dei dati.

In ultimo, il Garante verifica che tutti i documenti siano periodicamente aggiornati e che i responsabili siano formati secondo le più recenti applicazioni delle norme europee. I documenti da aggiornare periodicamente sono:

  • L’analisi dei rischi
  • Il registro dei trattamenti
  • Il registro delle eventuali violazioni
  • Le informative

Ispezioni del Garante Privacy: sai cosa fare?

I doveri del datore di lavoro durante l’ispezione

Come già accennato, il datore di lavoro ha l’obbligo di fornire al Garante l’accesso ai sistemi informatici e di archiviazione aziendali, nonché ai registri e alle banche dati dell’impresa.

Le ispezioni del Garante Privacy possono durare anche più giorni e riguardare anche i provvedimenti presi dall’azienda in passato. Il datore di lavoro e i responsabili possono essere intervistati, e le interviste possono essere registrate.

Se il datore di lavoro ostacola lo svolgimento o la riuscita dell’ipezione è soggetto a sanzioni anche molto severe:

  • Fino a 20.000 euro (o al 4% del fatturato annuale dell’impresa) per la mancata consegna dei materiali richiesti o per il negato accesso alle informazioni o ai locali dell’impresa
  • Fino a un anno di reclusione per chi volontariamente interrompe o impedisce il corretto svolgimento dell’ispezione
  • Fino a tre anni di reclusione per chi fornisce informazioni o documenti falsi

 

I diritti del datore di lavoro

Gli ispettori non possono fare domande o chiedere accesso a documenti e materiali del tutto estranei al tema privacy, e non possono richiedere la copia originale di alcun documento.

Il datore di lavoro può riservarsi di rispondere successivamente a una domanda della quale non sappia per certo la risposta, avvalendosi del consulto dei responsabili del trattamento e del supporto dei documenti usati in azienda. Non può però fornire informazioni parziali o inesatte.

Le ispezioni da parte del Garante Privacy sono approfondite e sempre mirate a verificare la correttezza dei sistemi adottati in azienda, e non comportano alcun problema per chi agisce nel rispetto delle norme GDPR.

Tuttavia, dato che le normative sono molte e in continuo aggiornamento, la scelta migliore per tutelarsi è quella di affidare la gestione privacy aziendale ai professionisti del settore, sempre informati e aggiornati circa i regolamenti vigenti, e in grado di fornire la consulenza e l’assistenza necessarie a superare con tranquillità qualsiasi verifica.

Se vuoi accertarti di rispettare tutte le normative previste per il tuo caso contattaci: i nostri esperti privacy sono a tua disposizione per assisterti o per una consulenza ad hoc.