Partono i controlli sull’attuazione da parte delle aziende e dei professionisti del regolamento GDPR, il Regolamento Generale sulla Protezione dei Dati. La Deliberazione del 6 febbraio 2020, sancisce l’attività ispettiva di iniziativa curata dall’Ufficio del Garante, anche per mezzo della Guardia di finanza. In questo post vedremo come avvengono i controlli relativi alle norme sulla privacy e come prepararsi, quali sono le aziende soggette agli accertamenti ispettivi e quali sono i documenti maggiormente richiesti.
Come avvengono i controlli GDPR
Gli accertamenti ispettivi sono condotti dal Nucleo Speciale Privacy della Guardia di Finanza e, nei casi più gravi, da funzionari del Garante i quali procedono personalmente alle ispezioni. Le ispezioni possono essere annunciate tramite comunicazione a mezzo PEC, spesso il giorno prima dell’ispezione stessa, ma possono anche avvenire a sorpresa. Per questo motivo è opportuno individuare i soggetti preposti alla gestione degli ispettori.
Le attività ispettive possono scaturire sia a seguito di una segnalazione da parte di uno o più soggetti interessati, o d’ufficio, su iniziativa del Garante. Durante suddetti controlli verrà richiesto di comprovare l’accountability, ossia dimostrare di aver attuato misure opportune, efficaci e adeguate per salvaguardare i dati personali trattati. In fase di controllo del Garante, infatti, l’azienda deve saper dimostrare, in maniera logica e documentata, quanto fatto per adempiere alla normativa sulla protezione dei dati personali.
Come prepararsi ai controlli GDPR
È segno di “accountability” che le figure aziendali deputate a relazionarsi con gli ispettori siano pronte al momento dei controlli GDPR, che in genere durano tra i 2 e i 3 giorni. I soggetti in questione saranno:
- il titolare del trattamento dati, che di solito è il legale rappresentante dell’azienda;
- il DPO (Data protection officer) ove nominato;
- ove presente, si può richiedere l’assistenza del proprio consulente di fiducia in materia di privacy.
Ecco alcuni consigli pratici per affrontare al meglio un’eventuale ispezione:
- prendere nota di tutti i documenti visionati dagli ispettori, compresi banche dati, archivi, sistemi informatici;
- segnare tutte le informazioni richieste e fornite;
- farsi rilasciare una copia del verbale d’ispezione.
I documenti richiesti
In un articolo precedente, abbiamo affrontato il tema dei documenti da produrre per la GDPR. Durante un’ispezione privacy vengono, in genere, richiesti i seguenti documenti:
- registro dei trattamenti
- informative
- formazione (attestati, programmi e test di verifica)
- procedura di gestione del data breach
- nomine dei responsabili esterni del trattamento dati
- nomina del DPO, se nominato;
- DPIA (Data protection impact assessment), se effettuata;
- in caso di mancata nomina del DPO o di non effettuazione del DPIA, l’accountability sta nel motivare perché non siano stati fatti questi due adempimenti
Sanzioni
Nel 2019 le sanzioni legate alle violazioni del GDPR hanno sfiorato i 16 milioni di euro. L’ammontare della multa è calcolato in percentuale rispetto al fatturato globale annuo mondiale di chi tratta i dati e colpiscono anche le grandi piattaforme e società nordamericane che trattano i dati degli europei. Infatti, il regolamento GDPR viene applicato anche a società che non hanno sede in Unione Europea. Le sanzioni terranno conto dei seguenti fattori:
- della natura, della gravità e della durata della violazione;
- delle finalità del trattamento;
- del numero di interessati lesi;
- del livello del danno;
- della natura colposa o dolosa della violazione.
Le violazioni si dividono in due macro categorie. Esse comprendono:
- i nuovi adempimenti in materia di accountability e di sicurezza dei dati (DPO, valutazione d’impatto, data breach) con sanzioni fino a 10 milioni di Euro o il 2% del fatturato.
- la violazione dei diritti dell’interessato (i principi base del trattamento e i trasferimenti dei dati all’estero) con sanzioni fino a 20 milioni di Euro o il 4% del fatturato mondiale annuo dell’impresa.
Siamo a disposizione per offrirvi tutta la consulenza necessaria a mettere in regola la vostra azienda dal punto di vista della tutela dei dati e della privacy in vista dei controlli GDPR, in particolare per dotarvi delle procedure e prassi necessarie a dimostrare “accountability”. Per qualsiasi informazione, contattaci. Ci trovi ad Arzignano, in provincia di Vicenza.
Tag:accountability, controlli, data breach, documenti da produrre, dpia, dpo, garante, gdpr, PEC, privacy, valutazione d'impatto pia
0 Comments