Arrivano le ispezioni del Garante della privacy. Ecco come affrontarle

Privacy 222Views
Condividi

Le ispezioni del Garante per la privacy, svolte mediante il Nucleo Privacy della Guardia di Finanza, rientrano nel piano ispettivo o sono determinate da segnalazioni, reclami o esposti sottoposti all’Autorità.

Le segnalazioni possono arrivare da un cliente, da un utente, da chiunque abbia contatto con la nostra attività e ravveda una violazione dei propri diritti privacy.

Poiché è trascorso il periodo di applicazione “morbida” del GDPR, le ispezioni sono sempre più frequenti. È fondamentale che i titolari e i responsabili siano pronti a gestirle con competenza e consapevolezza.

Facoltà degli ispettori

Per prima cosa occorre ricordare che gli ispettori possono:

  1. accedere agli uffici o luoghi dove dev’essere svolta l’ispezione e questo anche per diversi giorni e richiedere ogni documento e/o informazione oggetto della verifica;
  2. accedere ai documenti cartacei e in formato elettronico contenuti in computer, hard disk nonché in ogni altro dispositivo informatico;
  3. apporre i sigilli su database e documenti;
  4. svolgere interrogatori ai quali occorre rispondere in modo corretto, chiaro e non evasivo;
  5. Non possono cercare documenti che non hanno alcun collegamento con l’oggetto dell’ispezione. Questa limitazione si estende anche alle domande poste negli interrogatori.

Come comportarsi

  1. Vigendo il principio di collaborazione, è consigliabile indicare dove sono conservati i documenti d’interesse, fornire ogni informazione richiesta;
  2. dare risposte specifiche e precise, facendo riferimento il più possibile alle procedure adottate.

Come arrivare preparati all’ispezione

1. mettere l’azienda al sicuro implementando tutte le misure tecniche e organizzative che permettono di adeguarsi alle indicazioni del GDPR e, soprattutto, di mantenere la cosiddetta “compliance” nel tempo.

2. immaginare cosa avverrebbe in caso di ispezioni, facendo una verifica del grado di adeguatezza della propria struttura al GDPR.

Come affrontare l’ispezione

  • All’arrivo degli ispettori della Guardia di Finanza è buona norma richiedere l’autorizzazione e verificarla
  • All’avvio dell’ispezione gli incaricati interni delle aree coinvolte potranno:
  • contattare i propri consulenti GDPR per beneficiare del supporto tecnico/legale nello svolgimento delle attività ispettive, elencando tutta la documentazione, le procedure, i processi e le misure di sicurezza adottate all’interno della realtà aziendale;
  • se si tratta di un’azienda con obbligo di nomina del DPO, è meglio contattarlo al fine di metterlo in contatto con le autorità di controllo, essendo egli una figura centrale che conosce a menadito le misure adottate dall’azienda.

L’importanza delle attività preparatorie

È evidente che le conseguenze di un’ispezione sono direttamente legate a ciò che l’azienda ha fatto precedentemente e alla qualità degli interventi messi in atto. Pertanto, i possono profilare i seguenti scenari

  • Se l’azienda non ha fatto nulla per l’adeguamento al Regolamento UE. Per queste aziende l’ispezione porterà con certezza alla sanzione massima ovvero il 4% del fatturato
  • Se l’azienda ha adottato misure puramente formali (es. compilazione del semplice fascicolo GDPR, normalmente incompleto e spesso compilato su modelli di documenti e/o fotocopie distribuite da enti datoriali, organizzazioni sindacali, associazioni di categoria o consulenti improvvisati), in questo caso il disastro è assicurato con l’aggravante di aver perso tempo (del titolare) e spesso anche denaro. Anche qui ci troviamo a rischiare una sanzione tra il 4% e il 2% del fatturato.
  • Le aziende che hanno deciso di commissionare un “Assessment” ad un consulente preparato si trovano invece ad avere a disposizione una “Roadmap” che porta all’adeguamento completo e costante nel tempo. La consulenza viene poi messa a disposizione anche e soprattutto durante le ispezioni in modo da non lasciare mai solo il titolare durante una fase delicata nella quale è necessario essere precisi e collaborativi avendo una chiara visione della materia e dello status GDPR dell’azienda.

Prepararsi adeguatamente e preventivamente può certamente aiutare a minimizzare i rischi di essere sanzionati. Quindi, non improvvisate, restate calmi e rispondete all’ispezione con competenza e professionalità (anche esterne all’azienda) alle domande che vengono poste.

Scopri con noi come prepararsi al meglio alle ispezioni del Garante. Insieme definiremo il miglior progetto di adeguamento al GDPR per la tua azienda!

You May Also Like

Diritto e tecnologia, Privacy25 Giugno 2021
Data Breach e Disaster Recovery
Privacy1 Ottobre 2020
Scaricate Immuni!