Ecco un utile approfondimento per verificare tutti gli aspetti importanti che vengono presi in considerazione durante le visite ispettive per la verifica della conformità e per non farsi trovare impreparati.

Il piano ispettivo del Garante per i il prossimo semestre, le denunce e gli esposti.

Come nascono le ispezioni

Le ispezioni che il Garante per la Privacy svolge, o tramite il proprio Dipartimento Ispettivo o tramite il Nucleo Speciale della Guardia di Finanza, rientrano all’interno del c.d. piano ispettivo. Sono quindi diretta conseguenza di questo piano oppure nascono da segnalazioni, reclami o esposti sottoposti all’Autorità.

I controlli possono essere svolti direttamente presso i locali delle aziende o organizzazioni per verificare la corretta applicazione della normativa in tema di trattamento dei dati personali.

Le ispezioni possono essere “annunciate” dal Garante o dalla GdF tramite una comunicazione, tramite PEC o fax (spesso solo il giorno prima dell’arrivo) ma possono anche avvenire a sorpresa. E’ opportuno quindi istruire adeguatamente, ad esempio, chi controlla la PEC dell’organizzazione (o il fax, se qualcuno lo usa ancora) su come avvisare subito i vertici in modo da prepararsi all’arrivo degli ispettori.

Il perimetro nell’ambito del quale si svolgerà l’ispezione, è definito attraverso un documento, notificato al momento dell’accesso nella sede dell’azienda o dell’organizzazione, chiamato “richiesta di informazioni”; con questo documento il Garante domanda come siano stati assolti determinati obblighi legislativi o regolamentari in materia di protezione dei dati personali.

La richiesta di informazioni, per esempio, può includere come venga data l’informativa agli interessati, come venga raccolto il consenso ove necessario, come vengano contrattualizzati i responsabili esterni del trattamento, quali misure di sicurezza siano applicate, per quanto tempo e come vengano conservati i dati trattati ecc.

Cosa possono e non possono fare gli ispettori

Gli ispettori possono:
accedere agli uffici o luoghi dell’ispezione (anche presso la residenza privata), dalle 7 alle 20 ed anche per più giorni.
richiedere ogni documento e ogni informazione oggetto ed utile alla verifica.
apporre i sigilli su strumenti, locali, database e documenti.
svolgere interrogatori a tutto il personale coinvolto.

Gli ispettori non possono:
– chiedere o cercare
documenti che non hanno alcun collegamento con l’oggetto dell’ispezione.
richiedere o pretendere l’originale dei documenti. Bisogna sempre consegnare sempre e soltanto copie dei documenti e degli atti oggetto dell’ispezione.
– effettuare interviste o porre
domande non pertinenti né rilevanti o che non hanno attinenza con l’ispezione.

E’ veramente molto importante non essere evasivi, rispondere in modo corretto e chiaro, essere collaborativi con l’autorità. Avere delle procedure chiare e della documentazione a supporto, aiuta ad evitare risposte generiche, poco chiare o non corrette.

Vi ricordiamo che ostacolare l’esecuzione di una ispezione porta con se conseguenze pesanti:
1.
sanzioni amministrative, fino a 20.000.000 euro o il 4% del fatturato globale, per il mancato riscontro alla richiesta di informazioni o negato accesso ai dati o ai locali;
2.
sanzioni penali, fino a tre anni di reclusione, per false dichiarazioni o false attestazioni o produce atti e documenti falsi;
3.
sanzioni penali, fino ad un anno di reclusione, per chi intenzionalmente provoca un’interruzione o turba l’esecuzione di un procedimento.

Qualora gli ispettori richiedessero la produzione di documentazione rilevante (ad es. informative, contratti, policy ecc.), tipicamente devono essere prodotti in 15 giorni (dalla notificazione della richiesta di informazioni e quindi dal primo giorno di ispezione). Quindi, il caso di non essere in grado di soddisfare immediatamente una o parte delle richiesta dell’Autorità non è così infrequente. Nel caso in cui la richiesta di documentazione riguardi atti e documenti riservati, si consiglia di anonimizzare o cancellare le parti che non si desidera e che non è necessario mettere a disposizione dell’Autorità (per esempio, i termini economici di un contratto con un cliente o fornitore).

Quali sono le fasi di una ispezione

La comunicazione della ispezione.

Quando si riceve avviso della imminente ispezione, o quando si dovesse ricevere una visita ispettiva a sorpresa, si dovranno informare i vertici dell’azienda o dell’organizzazione, tipicamente il titolare del Trattamento o il suo delegato, e tutti i soggetti che verranno coinvolti nella ispezione stessa (ad esempio il legale, il DPO se nominato,). E’ opportuno quindi avere una procedura, conosciuta da tutti, su come comportarsi in questa evenienza.

Chiederemo quindi di verificare l’autorizzazione all’ispezione.

Una check list dell’accountability.

Il punto di partenza di una ispezione è il registro dei trattamenti. Tale registro non è sempre obbligatorio ma, proprio in queste evenienze è più che mai opportuno averlo predisposto. Dalla check list, in funzione del trattamento o del processo preso in esame dalla ispezione, sarà possibile con facilità avere contezza di tutti i documenti, le procedure e gli strumenti adottati nell’ambito aziendale fino al momento della ispezione.

La documentazione e le evidenze.

Le evidenze che si andranno a ricercare, i documenti e le misure organizzative che verranno verificate, sono le seguenti:

  • Verifica della adozione di un Modello Organizzativo Privacy (M.O.P). Si tratta di un documento nel quale vengono elencate e descritte le scelte effettuate in ambito privacy e dal quale si desumono la struttura dei trattamenti, l’organizzazione dell’azienda, le finalità perseguite in materia di protezione dei dati personali;
  • Del Registro dei trattamenti del titolare abbiamo detto essere il primo documento che i funzionari o gli ispettori richiedono. Si tratterà quindi di metterne a disposizione una copia dello stesso (art. 30 GDPR); nel caso dovessimo essere indicati come Responsabili esterni da parte di altre organizzazioni, andrà messo a disposizione anche il Registro dei Trattamenti del Responsabile.
  • La documentazione, da mettere a disposizione in copia, relativa alle Informative di cui agli art. 13 e 14 del GDPR, ai Consensi, indicando le modalità con le quali sono stati raccolti (artt. 7 e 8 del GDPR), con particolare riferimento ai soggetti minori o soggetti vulnerabili nonché all’uso dei dati a fini promozionali; attenzione al caso di consenso raccolto tramite siti web per cui occorrerà essere in grado di dimostrare la raccolta del consenso; le designazioni, le nomine e le istruzioni, per il trattamento dei dati personali, a tutti i soggetti coinvolti nei trattamenti (DPO, incaricati interni, responsabili esterni e sub-responsabili, amministratore di sistema) atti scritti o contratti di co-titolarità e/o di titolarità autonoma se presenti; nomine, contratti e designazioni ai sensi dell’art. 28 GDPR andranno messi a disposizione in copia;
  • Relativamente alla formazione obbligatoria degli incaricati, verifica della Documentazione relativa alla formazione svolta, (copia dei verbali di formazione e/o degli attestati con i relativi programmi svolti) e del piano formativo continuo;
  • Si passa quindi ad individuare le piattaforme tecnologiche utilizzate per trattare i dati personali, precisando se le stesse sono gestite direttamente o da soggetti terzi;
  • Ulteriore verifica riguarda la verifica delle procedure:
    – per
    l’esercizio dei diritti degli interessati (artt. 15 a 22 GDPR)
    – la procedura in caso di
    data breach (con il relativo Registro Data Breach),
    – le procedure di
    privacy by design,
    – procedure di
    gestione di terze parti,
    – procedure
    Data Retention; si tratta, anche in questo caso di produrre idonea documentazione e di metterne una copia a disposizione dell’autorità,
    – procedure relative all’utilizzo dei
    sistemi informativi da parte, soprattutto, del personale interno,
    – procedure che regolano il trattamento dei dati raccolti tramite il
    sistema di videosorveglianza (o, tramite la geolocalizzazione);
  • Qualora sia stata effettuata la Valutazione dei rischi (Risk Assessment) ed eventuale DPIA (Data Protection Impact Assessment), si andrà a verificare anche questa documentazione e dovrà esserne messa una copia a disposizione dei funzionari;
  • Se esistono delle Certificazioni è opportuno mettere a disposizione dei funzionari anche la documentazione relativa, dato che saranno oggetto di verifica ma anche elemento che qualifica maggiormente il lavoro svolto di assestement.

Un piccolo capitolo a parte meritano le evidenze che riguardano attività promozionali di telemarketing, a maggior ragione se vengono svolte su incarico di società terze. Tutta la documentazione relativa, elenchi, report, verbali, contratti, andranno messi a disposizione, sempre in copia, dei funzionari e degli ispettori.

In questi casi le verifiche riguarderanno:

  • L’elenco delle società per le quali vengono effettuate le chiamate promozionali
  • per ciascuna di esse si dovrà fornire il numero di utenti contattati negli ultimi sei mesi e dei relativi contratti stipulati per l’effettuazione di campagne a carattere commerciale;
  • La descrizione delle fasi operative per la gestione delle liste dei numeri da contattare; andranno altresì indicati tutti i passaggi tecnici per il caricamento delle liste dei contatti sui sistemi utilizzati per effettuare le chiamate;
  • La fonte da cui sono stati acquisiti i numeri e le liste dei destinatari delle chiamate telefoniche oltre alla check list con il Registro delle opposizioni dei dati di diversa origine della data e delle modalità di ottenimento consenso, con particolare riferimento al trattamento per fini di marketing;

La verifica delle misure tecniche.

Necessariamente le verifiche riguarderanno anche le misure tecniche ai sensi dell’art. 32 del GDPR. Si ricorda che non esistono misure minime analogamente a quanto era previsto nell’all. B in vigore della 196/2003, ma misure idonee a garantire la protezione dei dati personali e l’esercizio dei diritti da parte degli interessati.

Il titolare del trattamento, sempre in ottica accountability e in quanto opportunamente responsabilizzato, deciderà quali sono le misure tecniche da implementare. In tale ottica è necessario che il titolare abbia giusta contezza delle misure tecniche adottate e possa essere in grado di motivare le prorpie scelte.

  • La pseudonimizzazione e cifratura dei dati personali laddove fosse stata applicata;
  • Quali misure sono state adottate per garantire la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi del trattamento;
  • Quali misure sono state adottate per garantire la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;
  • Quali procedure sono state implementate per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche ed organizzative al fine di garantire la sicurezza del trattamento;

In particolare occorrerà indicare tutte le misure adottate per accedere alle banche dati o alle varie cartelle presenti (username e password – modalità di autenticazione – livelli di autorizzazione); quali backup vengono effettuati e con quali modalità; se sono presenti software antivirus e/o sistemi antintrusione; se esistono degli alert sui sistemi e come vengono gestiti.

A tal fine è opportuno coinvolgere l’amministratore di sistema e/o il responsabile esterno del trattamento ed ottenere, per poterla produrre, una relazione sullo stato dei sistemi (gap analysis) ed un piano di implementazione sulle misure da attuare; è anche consigliabile tenere un registro o un documento con lo stato delle revisioni e delle implementazioni.

Conclusione.

Certamente “subire” un’ispezione non è piacevole. Tuttavia prepararsi in maniera adeguata aiuta ad affrontarla con serenità e, soprattutto, al fine di ottenere un esito positivo è necessario arrivare preparati, conoscere la materia, non improvvisare, essere collaborativi e rispondere con competenza e professionalità alle domande degli ispettori e restare calmi!

Non sempre, anzi nella maggior parte dei casi, non è semplice gestire tutto questo internamente; per questo è importante scegliere con accortezza il consulente che ci affiancherà nella gestione del processo di adeguamento, diffidando da chi adotta un approccio semplicistico e minimizzando la portata della norma.

Non si tratta necessariamente di investire cifre impegnative o risorse importanti: si tratta di scegliere un consulente competente a 360° non solo sulla normativa cogente di riferimento (Regolamento UE 2016/679, D.lgs 196/2003, D.lgs 101/2018), ma anche sulle norme tecniche di riferimento (ISO 31000 “Risk Management”, ISO IEC 27001:2016 “Sistema di Gestione della Sicurezza delle Informazioni”, ISO IEC 29100:2011 “Privacy Framework”, UNI EN ISO 9001:2015 “Sistema Qualità o SGQ”), sulle varie norme nazionali collegate,nonché con adeguate competenze tecniche sui sistemi informatici, sugli strumenti software ed hardware.

Fonti:

Col. Marco Menegazzo Comandante Nucleo Ispettivo Privacy GdF

Dott. Giuseppe Giuliano Funzionario Dipartimento Ispettivo del Garante per la Protezione dei Dati Personali