Ispezione Privacy: la prudenza non è mai troppa. 

di Federico Perelli

Arrivano le prime pronunce dell'Autorità Garante, con sanzioni, anche cospicue. Mi sono chiesto come funzionasse nella pratica la verifica da parte dell'Autorità. Ho cercato di documentarmi meglio, ed ho individuato alcuni aspetti che ritengo fondamentali per ogni realtà professionale e da non trascurare.

Provo a riassumere in breve.

L'ispezione ad aziende e professionisti in materia di GDPR si rende necessaria a seguito di segnalazioni/reclami giunti al Garante da parte di soggetti interessati oppure d'ufficio su iniziativa del Garante, sulla base di una programmazione dei controlli da effettuare sul territorio nazionale.

Per verificare che i dati siano trattati in conformità al GDPR, Reg. UE 2016/679 il Garante delega i propri ispettori o il Nucleo Speciale della Guardia di Finanza.

Nell'ispezione si andrà a verificare che siano rispettate le norme procedurali previste dai registri opportunamente formati dal Titolare e che siano attuate tutte le opportune misure di sicurezza dei sistemi di trattamento.

I soggetti sottoposti ad ispezione devono, in sede ispettiva, dimostrare, con ragionamenti logici e documentati, quanto concretamente previsto in relazione alla propria attività e dare prova di quanto attuato.

A sorpresa o previa comunicazione da parte dell'Autorità ispettiva, ove vengono indicati data ed orario della prevista verifica, l'ispezione potrà avvenire sia presso la sede dell'azienda , impresa, società, associazione o professionista, ovvero presso gli uffici dell'organo di controllo. L'ispezione è una mera "richiesta di informazioni" con cui il Garante viene a conoscenza della metodologia prevista nell'adempiere agli obblighi normativi imposti dal Regolamento Europeo.

A meno che sulle procedure non sia stato individuato un soggetto diverso a gestire gli eventuali controlli (in genere un DPO), il soggetto interessato a sostenere la verifica è unicamente il Titolare, obbligato a permettere l'accesso a tutta la documentazione richiesta, sia cartacea che informatica (organigramma, registri, modulistica, computer ed altri eventuali dispositivi elettronici ed informatici).

Al termine dell'ispezione (la cui durata dipende dalla tipologia di contestazione mossa e/o dalla complessità dell'ambito cui si è rivolta l'Autorità) l'organo ispettivo compone un verbale, all'interno del quale è possibile dichiarazioni: è evidente la necessità di avere a disposizione un consulente privacy che sappia muoversi autorevolemente e che sia preparato: un professionista.

Che cosa viene richiesto? 

Il registro dei trattamenti; che deve contenere l'elenco delle procedure individuate proprie dell'attività professionale o aziendale svolta. Deve recare sia la "data di nascita" che degli eventuali aggiornamenti/modifiche intervenute; E' fondamentale che le informative adottate siano fedeli a quanto previsto sul regitro dei trattamenti e non il frutto di un copia/incolla di documenti reperiti con operazioni "fai da te", magari frutto di informazioni reperite gironzolando sul web.

E' anche per questo aspetto che, in materia di GDPR, il "fai da te" è assolutamente sconsigliabile.

L'informativa infatti non è un documento standardizzato ma deve seguire anch'esso, un ragionamento logico. Senza che vi sia correlazione tra registri e informative si può facilmente verificare che le informative non siano veritiere, incorrendo inevitabilmente in sanzioni, anche gravi: dichiarare il falso all'Autorità è sanzionato anche penalmente: meglio evitare la contestazione di tale reato.

E' pertanto necessario porre molta attenzione nel redigere le informative.

Sulla base di quanto si dichiara nel registro dei trattamenti viene successivamente verificata la congruità e la correttezza delle nomine dei DPO (che sarebbe opportuno presenziasse alla verifica ispettiva) e dei Responsabii del trattamento.

Il Garante e/o la GdF appurata la veridicità di quanto contenuto nei registri e quali siano le attività svolte e le procedure adottate, verificheranno se ha avuto luogo una adeguata  formazione in materia di privacy, aspetto essenziale dell'accountability, principio su cui si fonda tutto il GDPR.

Già in passato è accaduto che il Garante abbia richiesto i piani di formazione, verificando i profili degli incaricati al trattamento, le previste policy e procedure, il tutto in funzione di ogni differente ruolo e/o personale addetto ai lavori, che per questi motivi deve essere debitamente preparato.

La formazione del personale incaricato costituisce una concreta misura di sicurezza.

Saranno poi oggetto di verifica anche informativa e raccolta del consenso. La prima dovrà riportare tutti i trattamenti ed essere nello stesso tempo sintetica, chiara e di facile comprensione. La raccolta del consenso, così come previsto nel registro, è tanto importante quanto la fase della sua conservazione.

Data la complessità della materia e delle procedure previste, si consiglia vivamente ogni professionista, azienda o associazione di avvalersi del supporto di un DPO o di un consulente esperto in materia, al fine di evitare di incorrere in evitabilissimi errori che possono comportare sanzioni e danni all'attività svolta.

In tema di GDPR... la prudenza non è mai troppa.