GDPR: come gestire l'ispezione del Garante in azienda

Dopo l’entrata in vigore e la piena applicazione del nuovo Regolamento europeo sulla protezione dei dati personali (GDPR) è cambiato radicalmente il modo di gestire i dati da parte delle aziende.

Non esiste una procedura standard di gestione dei dati che possa essere valida per tutte le aziende in modo univoco, poiché ogni realtà ha caratteristiche che la rendono in qualche modo “unica”, soggetta a limiti, vincoli e opportunità non facilmente uniformabili.

In ogni caso, un’oculata applicazione dei principi generali e delle linee guida maggiormente condivise possono portare a una corretta applicazione della normativa e a un modus operandi che può evitare gravi e pesanti sanzioni.

L’irrogazione delle sanzioni è prerogativa dell’Autorità di controllo, in Italia il Garante per la protezione dei dati personali. La non conformità al GDPR può essere accertata a seguito di un’ispezione che viene effettuata direttamente nei locali dell’azienda (con una durata di 2-3 giorni) dal Garante o dalla Guardia di Finanza a ciò appositamente delegata.

Di seguito viene fornito una sintetica descrizione di come si svolge una ispezione “tipo” del Garante, e di come si dovrebbe gestire al meglio nell’interesse dell’azienda.

Come nasce un’ispezione del Garante Privacy

Gli accertamenti ispettivi del Garante sono svolti per lo più dal Nucleo Speciale Privacy della Guardia di Finanza e possono essere effettuati in base ad un programma delle ispezioni preventivamente definito, oppure in seguito a segnalazioni e/o reclami da parte di soggetti interessati.

Nel caso un’azienda abbia già ricevuto richieste di informazioni da parte dell’Autorità, è prevedibile che queste possano essere il preludio a un’ispezione in loco.

Solitamente le ispezioni da parte del Garante per la Privacy vengono annunciate con un preavviso (a volte anche solo di 1 giorno), ma non è escluso che possano essere fatte a sorpresa, senza alcuna comunicazione preventiva.

Come farsi trovare pronti in caso di ispezione

Per dimostrare un buon grado di accountability, ovvero di responsabilizzazione dell’azienda, è fondamentale che sia già stata predisposta la documentazione relativa ai principali adempimenti della normativa, quale ad esempio il registro delle attività di trattamento. Sovente viene inoltre richiesta una dettagliata illustrazione di come l’azienda è organizzata sotto il profilo delle procedure e delle attività di trattamento. Avere pertanto a disposizione un organigramma e funzionigramma formali può essere molto utile.

La procedura interna

Al fine di evitare, durante un controllo ispettivo, risposte evasive, errate o false dichiarazioni (magari dovute alla mancata conoscenza di alcune procedure), è di fondamentale importanza che l’azienda disponga di una procedura interna che individui i soggetti preposti a interloquire con gli ispettori.

Questi soggetti possono essere:

Il referente privacy interno, colui che si occupa di questioni Data Protection
Il responsabile dell’ufficio legale o in alternativa il legale esterno dell’azienda
Il capo della funzione compliance
Il DPO per le strutture che ne sono in possesso.

La verbalizzazione dell’ispezione

Assume un ruolo importante anche il modo in cui vengono rilasciate le dichiarazioni agli ispettori, avendo cura di rispondere correttamente a quanto viene chiesto, senza divagazioni e con precisione e onestà. Tralasciare dettagli importanti o, peggio, fornire dichiarazioni false è molto grave (ed è passibile di sanzioni penali), rispetto a dichiarare di non essere a conoscenza di una o èpiù circostanze o di non essere in grado di poter rispondere, riservandosi di fare accertamenti atti a fornire le risposte mancanti in un secondo momento.

Risulta altresì importante verificare tutto ciò che viene verbalizzato dagli ispettori onde evitare errori di trascrizione, e se possibile sarebbe utile farle vagliare da un proprio legale, per evitare dichiarazioni controproducenti e/o contradditorie.

Consigli utili su come comportarsi durante l’ispezione del Garante Privacy

Ricordarsi sempre che durante un’ispezione è fondamentale essere collaborativi e non ostativi nei confronti degli ispettori. In linea di massima, ecco i suggerimenti che possono essere utili a portare a termine un’ispezione nei tempi corretti e senza passi falsi:

Fornire collaborazione agli ispettori e dimostrarsi disponibili
Non essere reticenti e non ostacolare i controlli
Prendere nota di tutta la documentazione che viene vagliata dagli ispettori
Non rilasciare documenti in originale, ma solo in copia
Fornire sempre informazioni veritiere e corrette, oppure in caso di dubbio, riservarsi di rispondere dopo gli opportuni accertamentti, evitando così di rilasciare false dichiarazioni
Qualora venisse richiesta documentazione riservata, fornire – se materialmente possibile – i documenti con parti oscurate, senza pregiudicare l’ispezione
Farsi rilasciare sempre una copia del verbale dell’ispezione e informare immediatamente il proprio consulente di fiducia per la fase successiva (ad esempio: invio degli ulteriori documenti richiesti dalla GdF in fase di ispezione, invio di memorie difensive all’Autorità Garante).

Cosa possono fare gli ispettori e cosa non possono fare

Gli ispettori possono:

accedere agli uffici (o luoghi) aziendali dove dev’essere svolta l’ispezione (dalle ore 7 alle ore 20)
richiedere documenti e/o informazioni che siano oggetto dell’ispezione
apporre sigilli su documenti e database
svolgere interrogatori (che possono essere registrati)

Gli ispettori non possono:

richiedere o cercare documentazione che non sia oggetto dell’ispezione
acquisire documentazione in originale
fare interviste o interrogatori non pertinenti e non rilevanti rispetto all’oggetto dell’ispezione

Nel caso in cui dovessero palesarsi comportamenti o raccolta di informazioni e documenti che esulino dall’oggetto dell’indagine, l’azienda potrà valutare di far valere i propri diritti nelle sedi opportune.

Gli step dell’ispezione del Garante Privacy

Si parte dal Registro delle Attività di Trattamento (RAT), dal quale si individua ogni tipologia di processo con conseguente documento che lo descriva (se presente) e si intervista la persona in azienda che ha un preciso ruolo e una specifica conoscenza di quella procedura;
Si verifica il flusso dei dati, ovvero il “percorso” seguito dai dati personali di un cliente, come vengono raccolti, per quali finalità, dove vanno trattati e conservati (data server), dove transitano, chi vi può accedere, e così via;
Si valuta il ruolo svolto dai fornitori IT che intervengono nel processo di gestione e trattamento dei dati personali e si verifica la correttezza delle procedure e la qualità dei dati registrati;
In caso di attività di marketing e profilazione, per esempio, viene verificata l’acquisizione del consenso da parte degli interessati e se il consenso è ancora valido o è stato revocato o è decaduto.

L’importanza degli audit e del monitoraggio

Per essere sempre in linea con la normativa e non rischiare di incorrere in sanzioni, può essere di fondamentale importanza svolgere regolarmente audit interni (anche tramite consulenti esterni) e monitorare costantemente e sistematicamente i processi attuati e implementati in azienda.

Il monitoraggio costante attraverso diverse sessioni di audit privacy, sia internamente che esternamente all’azienda, permette di verificare l’effettiva implementazione di corretti processi e procedure di trattamento dei dati personali.

Ricordiamo che anche l’art. 32 del GDPR, sulle misure di sicurezza, segnala al paragrafo 1, lettera d), l’utilità di adottare “una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento”.

Conclusioni

Subìre un’ispezione non fa piacere a nessuno, ma essere preparati, avere del personale pronto e una documentazione correttamente ordinata, possono aiutare enormemente a risolvere nel miglior modo possibile anche le situazioni più complicate.

Per far si che un’ispezione abbia esito positivo bisogna essere pronti e preparati, non improvvisare, restare calmi e dimostrare lucidità e competenza durante l’ispezione, rispondendo con professionalità e precisione alle domande.

Cookie	Durata	Descrizione
_ga	2 years	Il cookie "_ga" viene utilizzato per determinare i visitatori univoci del sito e viene aggiornato a ogni pagina visualizzata. Inoltre, questo cookie viene fornito con un ID univoco che Google Analytics utilizza per garantire la validità e l'accessibilità del cookie come ulteriore misura di sicurezza.
_gat_gtag_UA_55764475_1	1 minute	Impostato da Google per distinguere i visitatori del Sito.
_gid	1 day	Fa parte di Google Universal Analytics e viene utilizzato principalmente per tenere traccia delle visite a qualsiasi sito che utilizza Google Analytics.
__gads	1 year 24 days	Impostato da Google, è un cookie sotto il dominio DoubleClick e tiene traccia del numero di volte in cui gli utenti vedono un annuncio, misura il successo della campagna e calcola le sue entrate. Questo cookie può essere letto solo dal dominio su cui sono impostati e non traccerà alcun dato durante la navigazione su altri siti.

Cookie	Durata	Descrizione
cookielawinfo-checkbox-advertisement	1 year	Questo cookie è impostato dal plug-in GDPR Cookie Consent. Il cookie viene utilizzato per memorizzare il consenso dell'utente per i cookie nella categoria "Advertisement".
cookielawinfo-checkbox-analytics	11 months	Questo cookie è impostato dal plug-in GDPR Cookie Consent. Il cookie viene utilizzato per memorizzare il consenso dell'utente per i cookie nella categoria "Analytics".
cookielawinfo-checkbox-functional	11 months	Il cookie è impostato dal plug-in GDPR Cookie Consent per registrare il consenso dell'utente per i cookie nella categoria "Functional/Funzionali".
cookielawinfo-checkbox-necessary	11 months	Questo cookie è impostato dal plug-in GDPR Cookie Consent. I cookie vengono utilizzati per memorizzare il consenso dell'utente per i cookie nella categoria "Necessary/Necessari".
cookielawinfo-checkbox-others	11 months	Questo cookie è impostato dal plug-in GDPR Cookie Consent. Il cookie viene utilizzato per memorizzare il consenso dell'utente per i cookie nella categoria "Others/Altri".
cookielawinfo-checkbox-performance	11 months	Questo cookie è impostato dal plug-in GDPR Cookie Consent. Il cookie viene utilizzato per memorizzare il consenso dell'utente per i cookie nella categoria "Performance/Prestazioni".
viewed_cookie_policy	11 months	Il cookie è impostato dal plug-in GDPR Cookie Consent e viene utilizzato per memorizzare se l'utente ha acconsentito o meno all'uso dei cookie. Non memorizza alcun dato personale.

Cookie	Durata	Descrizione
IDE	1 year 24 days	Utilizzato da Google DoubleClick per registrare e produrre resoconti sulle azioni dell'utente sul sito dopo aver visualizzato o cliccato una delle pubblicità dell'inserzionista al fine di misurare l'efficacia di una pubblicità e presentare pubblicità mirata all'utente.
test_cookie	15 minutes	Utilizzato da Google per verificare se il browser dell'utente supporta i cookie.

GDPR: come gestire l’ispezione del Garante in azienda