Skip to main content

ATTIVITA’ ISPETTIVA. NON FATEVI PRENDERE DAL PANICO!

Chi si presenta?

Ispettori del Garante, ma più probabilmente il Nucleo speciale di tutela privacy e frodi tecnologiche della Guardia di Finanza.

Consiglio: gli ispettori si presentano direttamente alla reception. Sarà necessario:

  • annotare i nomi di tutti gli ispettori e si faccia vedere l’informativa privacy (non si deve far firmare perché stiamo rispondendo ad un obbligo di legge);
  • fornire un badge di accesso (ove presente) e si registri nell’apposito registro visitatori (se presente);
  • avvertire il DPO (se presente) e il titolare del trattamento;
  • predisporre una stanza che possa essere chiusa(l’ispezione può durare anche più di un giorno).

Che tipo di richieste saranno fatte durante l’ispezione?

  • di prendere visione del registro dei trattamenti;
  • di consultare la documentazione privacy;
  • documentazione privacy.

Il Titolare del trattamento e/o il Responsabile nominato dovrà fornire le lettere di nomina ad incaricati al trattamento, i mansionari e le lettere per tutti i responsabili esterni. Avere a disposizione anche un organigramma può essere molto utile.

Verrà verificato anche il flusso dei dati: come i dati sono raccolti, per quali finalità, dove sono trattati e conservati, dove transitano, chi vi può accedere. In caso di attività di marketing e profilazione, per esempio, viene verificata l’acquisizione del consenso da parte degli interessati e se il consenso è ancora valido o è stato revocato o è decaduto.

Inoltre sono consigliati

Procedura di data breach: tra i consigli emerge la necessità di disporre di una chiara procedura di data breach, per scongiurare perdite di dati per furto o distruzione. A questo proposito un buon piano di disaster recovery con tempi certi di ripristino aumenta notevolmente sia l’accountability che la Reputability aziendale.

Formazione privacy: in ultimo, l’Autorità richiede di prestare particolare attenzione alla formazione degli incaricati. Ai sensi dell‘art. 32, par. 4 GDPR, chiunque agisce sotto l’autorità del titolare o del responsabile del trattamento e abbia accesso ai dati personali, non può trattare tali dati se non è istruito in tal senso dal titolare o dal responsabile stesso. In questo senso l’azienda dovrà dimostrare di aver un efficace programma formativo, garantendone l’aggiornamento periodico.

Quali sono le tipologie di ispezione del Garante?

  • Il 50% degli accertamenti riguarda i reclami presentati dai cittadini per denunciare presunte violazioni del diritto alla privacy;
  • il 25 % degli accertamenti riguarda invece le verifiche disposte dal Garante nel caso in cui si sospettino delle irregolarità;
  • l’altro 25% degli interventi del Garante è, infine destinato all’esecuzione di accertamenti per verificare lo stato di attuazione della legge da parte di amministrazioni ed enti pubblici o soggetti privati.

Cosa rispondere agli ispettori?

Consigliamo di:

  • dimostrarsi disponibili;
  • non ostacolare i controlli;
  • rilasciare solo copie di tutti i documenti, conservando gli originali;
  • fornire sempre informazioni veritiere;
  • farsi rilasciare sempre una copia del verbale dell’ispezione.

Cosa possono fare gli ispettori?

Gli ispettori possono:

  • accedere agli uffici dell’azienda in orario lavorativo;
  • richiedere documenti oggetto dell’ispezione;
  • apporre sigilli su documenti database e stanze fino alla fine dell’ispezione;
  • svolgere interrogatori.

Gli ispettori non possono:

Gli ispettori non possono:

  • richiedere o cercare documentazione che non sia oggetto dell’ispezione;
  • acquisire documentazione in originale;
  • fare interviste o interrogatori non pertinenti rispetto all’oggetto dell’ispezione.

Chi è coinvolto nelle ispezioni del Garante?

A rispondere alle domande del Garante durante le ispezioni sarà il datore di lavoro, il DPO se designato e altre figure se specificamente designate dal datore di lavoro che parleranno in sua vece.

Dovranno spiegare i modi concreti di applicazione del regolamento (ad es. quali sistemi informatici di sicurezza vengono usati per la protezione dei dati conservati) e come vengono rispettati i principi fondamentali del GDPR. Le ispezioni del Garante Privacy possono durare anche più giorni.

Ostacolare lo svolgimento delle ispezioni può condurre a severe sanzioni

  • fino a 20.000 euro (o al 4% del fatturato annuale dell’impresa) per la mancata consegna dei materiali richiesti o per il negato accesso alle informazioni o ai locali dell’impresa;
  • massimo un anno di reclusione per chi volontariamente interrompe o impedisce il corretto svolgimento dell’ispezione;
  • fino a tre anni di reclusione per chi fornisce informazioni o documenti falsi. Esistono soluzioni pensate per produrre tutta la documentazioni richiesta e mantenerla aggiornata.

Per approfondire: Ispezioni Garante Privacy 2022: le soluzioni per mettersi in regola

Cerchi piattaforme per adempiere a 360° al GDPR ed evitare sanzioni?

Vedi qui!

Oppure ti serve formazione? O un consulente privacy? 

Abbiamo quel che cerchi!
Contattaci!