garante della privacy

Garante della privacy: come avvengono le ispezioni?

Il Garante per la protezione dei dati personali noto anche come Garante della Privacy è un’autorità amministrativa che vigila sul rispetto delle norme in materia di trattamento dei dati personali.

Si avvale di funzionari, propri o in delega per notificare all’azienda destinataria dell’ispezione una c.d. “richiesta di informazioni”.

Quest’ultima può essere eseguita a sorpresa o annunciata tramite comunicazione a mezzo PEC, il giorno prima dell’arrivo.

Ma vediamo nello specifico come lavora il garante.

Garante per la protezione dei dati personali: su cosa si concentra?

All’inizio di ogni semestre il Garante della Privacy rende noto il piano dell’attività ispettiva relativa al semestre di riferimento.

In aggiunta, esso può condurre insieme alla Guardia di Finanza ulteriori ispezioni a seguito di segnalazioni.

L’attività ispettiva programmata per il periodo gennaio-giugno 2022 è indirizzata verso due tipologie di accertamenti:

  1. accertamenti che riguardano profili di interesse generale nell’ambito del trattamento di:
  • dati personali svolti da “fornitori di database”;
  • gestione di dati personali svolti da piattaforme e siti web in ordine al corretto controllo dei cookies;
  • dati personali nel settore della c.d. “videosorveglianza”;
  • dati da parte di siti di incontri;
  • dati da parte di operatori dell’ambito della c.d. data monetization;
  • dati da parte di produttori e distributori di smart toys;
  • dati da parte di algoritmi e intelligenza artificiale in ambito pubblico e privato.

2. accertamenti nei confronti di soggetti pubblici e privati con particolare riferimento:

  • alla corretta individuazione dei titolari e dei responsabili del trattamento, anche in relazione all’utilizzo di app e altri applicativi informatici;
  • all’acquisizione di informazioni e dati personali da parte di app installate sugli smartphone;
  • alla verifica sul corretto trattamento dei dati da parte di app diverse da Verifica C19.

Come comportarsi se bussa il Garante della privacy o la Guardia di Finanza?

dpo
Garante per la protezione dei dati personali: come comportarsi durante un’ispezione

La prima regola è avvisare il DPO aziendale (responsabile della protezione dei dati), se nominato, o altrimenti il proprio consulente in materia di data protection e il referente privacy interno individuato, che si occuperà di moderare la comunicazione con l’autorità che conduce l’ispezione.

La presenza di un rappresentante dell’azienda competente in materia di trattamento e protezione dei dati dimostra di per sé un segnale di consapevolezza dell’azienda in merito alla normativa vigente. È importante, inoltre, mostrare sin dall’inizio dell’ispezione la massima collaborazione con l’autorità.

Cosa chiedono solitamente i soggetti incaricati dell’ispezione?

Le ispezioni sono finalizzate a verificare se vi è la corretta applicazione ed il rispetto della normativa in materia di protezione dei dati personali.

In particolare, è possibile che venga chiesto di visionare la documentazione in grado di provare la capacità dell’azienda di attuare misure tecniche e organizzative efficaci e adeguate alla tutela dei dati personali trattati, nonché di rendere conto delle valutazioni alla base delle scelte aziendali ed essere in grado di documentarle.

Quali sono i documenti che gli ispettori è probabile che controllino?

documentazione garante privacy
Garante per la protezione dei dati personali: i documenti che possono essere controllati

Innanzitutto è buona norma consegnare copia dei documenti che gli ispettori intendono acquisire e trattenere gli originali presso la sede della società. Tra quelli che gli ispettori potrebbero chiedere di visionare ci sono:

  • Organigramma privacy, con indicazione delle figure di riferimento per la gestione della data protection in azienda;
  • Atto di designazione del DPO (se presente);
  • Registro dei trattamenti del Titolare del trattamento, anche in caso di società con meno di 250 dipendenti;
  • Le informative sui trattamenti di dati personali svolti dalla società, con prova della raccolta dei consensi e eventuali balancing test (nei casi in cui la base giuridica del trattamento sia il legittimo interesse);
  • Atti di autorizzazione ad accedere ai dati personali, recanti istruzioni taylor-made sul trattamento;
  • Atti di nomina dei responsabili esterni del trattamento, recanti istruzioni taylor-made sul trattamento;
  • Analisi dei rischi e valutazioni di impatto (DPIA) svolte;
  • Policy adottate per la gestione dell’esercizio dei diritti degli interessati, per la gestione dei data breach e per la Registro dei data breach;
  • Registri della formazione svolta;
  • Richieste degli interessati e reazione / intervento della società.

Una volta consegnati i documenti richiesti, si può tornare alle proprie attività e lasciar lavorare gli ispettori?

È sempre consigliabile che almeno una persona (ancora meglio se due) resti con gli ispettori inviati dal Garante per tutta la durata dell’ispezione, che può durare anche 2/3 giorni, e prendere nota di tutta l’attività svolta dagli ispettori.

Come comportarsi se non si conosce la risposta alle domande poste dagli ispettori?

Ai sensi dell’art. 168 del D.Lgs. n. 196/2003, rendere false dichiarazioni, attestazioni o produrre falsa documentazione al Garante della privacy costituisce reato ed è punito con la reclusione da sei mesi a tre anni.

Pertanto, se non si è sicuri della risposta ad una delle domande poste dagli ispettori o non si è certi che il documento prodotto sia la versione in uso nel periodo di interesse del Garante, è opportuno riservarsi e verificare prima di esaudire la richiesta.

Per ulteriori chiarimenti è possibile consultare il sito ufficiale del Garante della Privacy.