ISPEZIONI PRIVACY: COSA È NECESSARIO SAPERE

Come noto, dal 25/05/2018 sono diventate operative le disposizioni contenute nel nuovo Regolamento Europeo Privacy (Reg. UE 2016/679) (Cosiddetto “GDPR“, acronimo di General Data Protection Regulation), che tutela appunto il trattamento dei dati personali delle persone fisiche. Dal versante nazionale, il 19 settembre 2018 è entrato in vigore il decreto di armonizzazione (D. Lgs. n. 101/2018) tra il GDPR e il codice privacy italiano (D. Lgs. n. 196/2003). Di fatto, il precedente codice privacy NON viene abrogato (sostituito) dal GDPR, ma continua ad essere efficace, potremmo dire in parallelo, con il GDPR stesso.

Coloro che NON risultassero conformi al nuovo Regolamento rischiano sanzioni amministrative fino a € 20 milioni o fino al 4% del fatturato mondiale nel caso di gruppi di imprese, nonché – per i casi più gravi – sanzioni penali.

Il presente articolo è redatto allo scopo di fornire alcuni brevi cenni in relazione ai poteri attributi al Garante Privacy, alla procedura previste per le attività ispettive svolte da quest’ultima ed a come prepararsi per una ipotetica ispezione.

I poteri attribuiti all’Autority

Al fine di verificare il rispetto della normativa de qua, l’art. 58, par. 1, del GDPR, attribuisce all’autorità di controllo (Garante) una serie di poteri di indagine, tra cui:

  1. Ingiungere al titolare del trattamento e al responsabile del trattamento […] di fornirle ogni informazione di cui necessiti per l’esecuzione dei suoi compiti;
  2. Condurre indagini sotto forma di attività di revisione sulla protezione dei dati;
  3. Effettuare un riesame delle certificazioni […];
  4. Notificare al titolare del trattamento o al responsabile del trattamento le presunte violazioni del presente regolamento;
  5. Ottenere, dal titolare del trattamento o dal responsabile del trattamento, l’accesso a tutti i dati personali e a tutte le informazioni necessarie per l’esecuzione dei suoi compiti;
  6. Ottenere accesso a tutti i locali del titolare del trattamento e del responsabile del trattamento, compresi tutti gli strumenti e mezzi di trattamento dei dati.

Da quanto sopra è possibile evincere un potere significativamente marcato in capo all’Autorità, il cui ambito di indagine pare NON conoscere limite in termini di accesso a dati personali, locali, mezzi di trattamento, nonché ogni altra informazione ritenuta necessaria.

Va osservato che il NON consentire detti accessi costituisce violazione di particolare gravità, alla quale è associata una sanzione fino a 20 milioni di euro, o fino al 4% del fatturato globale (art. 83, par. 5, GDPR). Come se ciò NON bastasse, il D. Lgs. n. 101/2018 ha previsto una forma di reato specifica riguardante la condotta di chi fornisce dichiarazioni false al garante o ne interrompe l’attività nell’esercizio dei relativi poteri (art. 168).

In particolare, il potere di condurre indagini ispettive

Con specifico riferimento al potere di indagine, con Regolamento del Garante n. 1/2019 è stata disciplinata la procedura interna dell’attività del Garante medesimo, avente rilevanza esterna. Tra le altre disposizioni, in relazione alle procedure di ispezione, di seguito si indicano alcuni aspetti rilevanti:

  1. Il Garante può avviare attività di indagine di propria iniziativa, oltre che su indicazioni di alcuni interessati oppure a seguito di un vero e proprio reclamo formulato da un interessato;
  2. L’attività può essere condotta direttamente da funzionari del Garante, oppure può essere delegata ad ispettori della Guardia di Finanza;
  3. NON sempre l’attività di accertamento condotta viene comunicata con anticipo: infatti, è concessa alle autorità la duplice facoltà di decidere se comunicare in anticipo, a mezzo PEC, la data dell’ispezione o se agire senza alcun preavviso;
  4. Durante le attività di ispezione il Garante può: i) controllare, estrarre ed acquisire copia dei documenti, ii) richiedere informazioni e spiegazioni, iii) accedere alle banche dati ed agli archivi, iv) acquisire copia delle banche dati e degli archivi su supporto informatico;
  5. Il titolare, nello svolgimento delle indagini, può farsi assistere da un procuratore;
  6. il soggetto coinvolto può riservarsi di rispondere alle richieste in un momento successivo (di regola NON oltre 30 giorni);
  7. La documentazione richiesta dal Garante deve essere fornita in formato digitale, a mezzo PEC, utilizzando i moduli previsti dal Garante ed a firma del legale rappresentante;
  8. L’attività ispettiva, che può protrarsi anche per più giorni, si conclude con un processo verbale contenente le dichiarazioni rese e tutta la documentazione acquisita dalle autorità di cui viene rilasciata copia all’interessato.

Cosa verifica il garante

L’attività di ispezione avrà ad oggetto la verifica della conformità dei trattamenti dei dati personali nel rispetto ai principi sanciti dalla nuova normativa: Liceità, correttezza e trasparenza della modalità e finalità del trattamento; Limitazione dello scopo del trattamento; Minimizzazione dei dati raccolti; Esattezza dei dati raccolti; Limitazione temporale del trattamento; Integrità e riservatezza dei dati raccolti.

A tal fine, a titolo indicativo, le attività svolte dal Garante riguarderanno:

  • L’analisi dei soggetti/figure privacy (titolare, co-titolare);
  • L’analisi del registro del trattamento;
  • La corretta comunicazione delle informative agli interessati;
  • La richiesta di consensi nei casi in cui ciò è necessario;
  • La presenza di responsabili interni (nonostante questo ruolo NON sia più obbligatorio, è sempre consigliato avere un soggetto a cui fare riferimento all’interno dell’azienda);
  • La presenza di responsabili esterni e la loro corretta nomina;
  • Le istruzioni fornite agli incaricati dei trattamenti all’interno dell’azienda;
  • La corretta individuazione dei rischi in materie di privacy;
  • La corretta individuazione delle misure per contenere detti rischi;
  • La presenza e la funzionalità delle misure di sicurezza indicate;
  • L’analisi DPIA nei casi in cui è obbligatoria;
  • La procedura per la gestione di un data breach (casi di violazione).

Si ricorda infine che uno dei principi cardine del GDPR, ovvero quello di accountability, prevede che siano le imprese stesse a determinare quali siano gli strumenti e le misure (di carattere organizzativo, formativo, informatico, cartaceo, etc.) più adatti per adeguarsi al Regolamento, in un’ottica di responsabilizzazione dell’impresa. Lo stesso principio prevede un onere probatorio a carico dell’impresa, la quale dovrà appunto essere in grado di dimostrare (documentalmente) di aver adottato le misure necessarie ai fini dell’adeguamento alla nuova normativa ed avere quindi ridotto i rischi individuati. Tale onere potrà essere assolto con il Modello Privacy, il Registro dei Trattamenti, gli atti di nomina, la DPIA nei casi in cui è prevista.

Newsletter

ho letto l’informativa riportata sul presente sito
presto il consenso a ricevere le newsletter dello studio