Il 20 Maggio è stato una data cruciale per l’attuazione del GDPR.
Difatti, a quasi un anno di distanza dall’entrata in vigore del regolamento europeo, il Garante della privacy avvierà i controlli e le ispezioni coadiuvato dai nuclei preposti della Guardia di Finanza.
Questo perché il Decreto legislativo 101 del 10 agosto 2018 fissava, attraverso l’articolo 22, un periodo di tolleranza pari a 8 mesi, per permettere a tutti i soggetti interessati di porre in atto le azioni necessarie per essere conformi alla normativa.
Adesso che questo periodo è finito, i controlli riguarderanno tanto le aziende che la Pubblica Amministrazione.
Per quest’ultima, nel mirino sicuramente le SPID, i sistemi di Identità Pubblica Digitale, ma anche l’ISTAT e in generale le grandi banche-dati; per quanto riguarda le aziende private, i primi attori che potrebbero essere oggetto di ispezione sono gli istituti bancari, chi esegue attività di profilazione su larga scala e/o di trattamento da parte delle aziende di dati riguardanti la salute. Secondo il piano del primo semestre 2019, il Garante ha in programma circa 100 ispezioni.
Ricordiamo che per il GDPR è il titolare del trattamento dati che deve dimostrare di aver messo in pratica gli adempimenti necessari, non solo rispettarli formalmente (il principio di accountability).
Come funzionano le ispezioni del Garante della Privacy?
Solitamente un’ispezione avviene o per iniziativa del Garante stesso, come precisato nel proprio piano semestrale per l’attività ispettiva, oppure per segnalazioni di soggetti interessati.
Se il settore di competenza di un’azienda rientra nel piano semestrale del Garante è ragionevole sospettare una possibile visita da parte dei funzionari.
L’attività delle ispezioni si svolge secondo quanto regolamentato agli articoli 157 e158 del Codice e dell’art. 58 del Regolamento; può essere a sorpresa – e ricordiamo, non necessariamente per chi è oggetto di un reclamo di segnalazione – oppure annunciata attraverso una comunicazione ad hoc, solitamente tramite posta certificata. Dato che il preavviso può essere minimo, tipicamente il giorno prima, è opportuno che chi si trovi a ricevere la comunicazione avverta immediatamente chi di competenza nel proprio organigramma e che in generale si metta in atto tempestivamente quanto serve per essere pronti all’arrivo degli ispettori.
Successivamente, prima dell’accesso dei funzionari in sede, viene notificato un documento, la ‘richiesta di informazioni’ attraverso il quale il Garante richiede come siano stati assolti gli obblighi secondo la normativa vigente (informativa, consenso, conservazione dei dati sono solo alcuni esempi). L’inadempimento della richiesta di informazioni può portare comunque a sanzioni pecuniarie, pertanto è molto importante comunque fornire tutta la documentazione richiesta.
Il Garante può disporre quindi gli accessi a banche dati, archivi o altre ispezioni e verifiche nei luoghi ove si svolge il trattamento o nei quali occorre effettuare rilevazioni utili al controllo del rispetto della normativa sul trattamento dei dati personali (clicca qui per approfondimenti)
Nei prossimi aggiornamenti cercheremo di approfondire cosa fare in caso di ‘visita’ da parte del Garante della Privacy.