Partono i controlli sull’attuazione da parte delle aziende e dei professionisti del regolamento GDPR, il Regolamento Generale sulla Protezione dei Dati. La Deliberazione del 6 febbraio 2020, sancisce l’attività ispettiva di iniziativa curata dall’Ufficio del Garante, anche per mezzo della Guardia di finanza. In questo post vedremo come avvengono i controlli relativi alle norme sulla privacy e come prepararsi, quali sono le aziende soggette agli accertamenti ispettivi e quali sono i documenti maggiormente richiesti.

Come avvengono i controlli GDPR

Gli accertamenti ispettivi sono condotti dal Nucleo Speciale Privacy della Guardia di Finanza e, nei casi più gravi, da funzionari del Garante i quali procedono personalmente alle ispezioni. Le ispezioni possono essere annunciate tramite comunicazione a mezzo PEC, spesso il giorno prima dell’ispezione stessa, ma possono anche avvenire a sorpresa. Per questo motivo è opportuno individuare i soggetti preposti alla gestione degli ispettori.
Le attività ispettive possono scaturire sia a seguito di una segnalazione da parte di uno o più soggetti interessati, o d’ufficio, su iniziativa del Garante. Durante suddetti controlli verrà richiesto di comprovare l’accountability, ossia dimostrare di aver attuato misure opportune, efficaci e adeguate per salvaguardare i dati personali trattati. In fase di controllo del Garante, infatti, l’azienda deve saper dimostrare, in maniera logica e documentata, quanto fatto per adempiere alla normativa sulla protezione dei dati personali.

Come prepararsi ai controlli GDPR

È segno di “accountability” che le figure aziendali deputate a relazionarsi con gli ispettori siano pronte al momento dei controlli GDPR, che in genere durano tra i 2 e i 3 giorni. I soggetti in questione saranno: 

  • il titolare del trattamento dati, che di solito è il legale rappresentante dell’azienda; 
  • il DPO (Data protection officer) ove nominato;
  • ove presente, si può richiedere l’assistenza del proprio consulente di fiducia in materia di privacy.

Ecco alcuni consigli pratici per affrontare al meglio un’eventuale ispezione:

  • prendere nota di tutti i documenti visionati dagli ispettori, compresi banche dati, archivi, sistemi informatici;
  • segnare tutte le informazioni richieste e fornite;
  • farsi rilasciare una copia del verbale d’ispezione.

I documenti richiesti

In un articolo precedente, abbiamo affrontato il tema dei documenti da produrre per la GDPR. Durante un’ispezione privacy vengono, in genere, richiesti i seguenti documenti:

  • registro dei trattamenti
  • informative
  • formazione (attestati, programmi e test di verifica)
  • procedura di gestione del data breach
  • nomine dei responsabili esterni del trattamento dati
  • nomina del DPO, se nominato;
  • DPIA (Data protection impact assessment), se effettuata;
  • in caso di mancata nomina del DPO o di non effettuazione del DPIA, l’accountability sta nel  motivare perché non siano stati fatti questi due adempimenti

Sanzioni

Nel 2019 le sanzioni legate alle violazioni del GDPR hanno sfiorato i 16 milioni di euro. L’ammontare della multa è calcolato in percentuale rispetto al fatturato globale annuo mondiale di chi tratta i dati e colpiscono anche le grandi piattaforme e società nordamericane che trattano i dati degli europei. Infatti, il regolamento GDPR viene applicato anche a società che non hanno sede in Unione Europea. Le sanzioni terranno conto dei seguenti fattori:

  • della natura, della gravità e della durata della violazione;
  • delle finalità del trattamento;
  • del numero di interessati lesi;
  • del livello del danno;
  • della natura colposa o dolosa della violazione.

Le violazioni si dividono in due macro categorie. Esse comprendono:

  • i nuovi adempimenti in materia di accountability e di sicurezza dei dati (DPO, valutazione d’impatto, data breach) con sanzioni fino a 10 milioni di Euro o il 2% del fatturato.
  • la violazione dei diritti dell’interessato (i principi base del trattamento e i trasferimenti dei dati all’estero) con sanzioni fino a 20 milioni di Euro o il 4% del fatturato mondiale annuo dell’impresa.

Siamo a disposizione per offrirvi tutta la consulenza necessaria a mettere in regola la vostra azienda dal punto di vista della tutela dei dati e della privacy in vista dei controlli GDPR, in particolare per dotarvi delle procedure e prassi necessarie a dimostrare “accountability”. Per qualsiasi informazione, contattaci. Ci trovi ad Arzignano, in provincia di Vicenza.

Tag:, , , , , , , , , ,