Le ispezioni sulla privacy

Un’ispezione privacy consiste nella verifica della correttezza di tutti i sistemi di acquisizione, archiviazione, protezione, gestione e cancellazione dei dati utilizzati dalla vostra azienda.

Si tratta di un controllo, non solo formale o documentale, che può avvenire in seguito a una denuncia o una segnalazione al Garante, oppure d’ufficio su iniziativa del Garante, ad esempio in base alla pianificazione semestrale dei controlli.

Questo significa che l’azienda non è solo responsabile delle procedure e dei mezzi scelti per proteggere i dati, ma deve di essere in grado di spiegare quali sono state le valutazioni alla base delle scelte poi operate.

Quali aziende possono essere controllate in questa fase?

Nell’ultimo anno i controlli della GdF si sono concentrati sulle imprese che effettuano trattamenti di dati personali:

• in qualità di gestori dell’identità digitale e di fornitori di servizi che utilizzano SPID e CIE (anche ad uso professionale o per minori) nell’ambito di servizi online offerti anche mediante APP da parte delle pubbliche amministrazioni;
• attraverso i siti internet nel rispetto delle Linee guida sul commercio elettronico e sulla gestione dei cookies e/o degli altri strumenti di tracciamento;
• attraverso attività di telemarketing e tessere di fidelizzazione.

Come avviene un’ispezione?

È il Garante della Privacy, l’Autorità incaricata di proteggere i dati personali.

Al fine di tutelare la privacy degli utenti e di garantire che i loro dati personali vengano trattati in modo adeguato il Dipartimento Ispettivo del Garante della Privacy si occupa di:

• controllare che i trattamenti siano conformi al GDPR e alle normative vigenti.
• prescrivere, quando necessario, ai titolari o ai responsabili dei trattamenti le misure da adottare per svolgere correttamente il trattamento nel rispetto dei diritti e delle libertà fondamentali degli utenti;
• esaminare le richieste di chiarimento ed i reclami;

Per i controlli online e sul territorio, il Garante della Privacy si affida anche al Nucleo Speciale Tutela Privacy e Frodi Tecnologiche (NSTPFT), un reparto speciale della Guardia di Finanza il cui scopo è contrastare le frodi telematiche ed informatiche, nonché svolgere funzioni ispettive, conoscitive e informative sui fenomeni che riguardano il trattamento dei dati personali.

Ricordiamo che le ispezioni possono essere preventivamente comunicate, a mezzo PEC, dal Garante o dalla GdF ma anche avvenire a sorpresa ed avere una durata anche di più giorni.

Le ispezioni partono da una “richiesta di informazioni” e possono riguardare anche i provvedimenti presi dall’azienda in passato.

Il datore di lavoro e i responsabili possono essere intervistati, e le interviste possono essere registrate.

Pertanto, per non farsi cogliere impreparati il Datore di Lavoro deve individuare e farsi affiancare da soggetti preposti alla gestione degli ispettori.

La scelta deve essere fatta tra coloro che hanno competenze specifiche e un comportamento collaborativo, intesi come la capacità di saper fornire:

• l’accesso a documenti cartacei ed elettronici contenuti in computer, hard disk e in ogni altro dispositivo informatico;
• ogni informazione richiesta indipendentemente dal fatto che i documenti o le informazioni siano tenute in luoghi diversi o da soggetti diversi dal titolare come ad esempio:
  • il registro dei trattamenti;
  • l’eventuale nomina del Data Protection Officer (DPO);
  • le nomine dei responsabili del trattamento;
  • la formazione erogata per gli autorizzati al trattamento dei dati ed il relativo aggiornamento periodico;
  • Le informative al trattamento e l’eventuale consenso.

In particolare le informative al trattamento dei dati dovranno essere chiare e sintetiche, pur avendo i contenuti previsti dalla legge; inoltre devono essere facilmente consultabili (sul sito web e da remoto), e comprensive di tutti i trattamenti effettuati dall’azienda.

Nello stesso modo, dove è necessario la raccolta del consenso, dovrà essere provata la corretta modalità di raccolta e conservazione dello stesso.

Le sanzioni

Se il datore di lavoro o i soggetti preposti ostacolano lo svolgimento o la riuscita dell’ispezione l’impresa potrà incorrere in sanzioni molto onerose come:

• Multa fino a 20.000 euro (o al 4% del fatturato annuale dell’impresa) per la mancata consegna dei materiali richiesti o per il negato accesso alle informazioni o ai locali dell’impresa
• Reclusione fino a un anno per chi volontariamente interrompe o impedisce il corretto svolgimento dell’ispezione
• Reclusione fino a tre anni di reclusione per chi fornisce informazioni o documenti falsi

Al termine dell’attività ispettiva sarà verbalizzato quanto emerso quindi, il datore di lavoro può riservarsi di rispondere successivamente a una domanda della quale non sappia per certo la risposta, avvalendosi del consulto dei responsabili del trattamento e del supporto dei documenti usati in azienda. Non può però fornire informazioni parziali o inesatte.

Suggeriamo di:

• farsi rilasciare sempre copia del verbale d’ispezione;
• prendere nota di tutti i documenti (incluse banche dati, archivi, sistemi informatici) visionati dagli ispettori;
• segnare tutte le informazioni richieste e fornite;
• rilasciare solo copie e mai documentazione in originale.

Dato che le normative sono molte e in continuo aggiornamento, la scelta migliore per tutelarsi è quella di verificare periodicamente la gestione della privacy aziendale.

In tal caso è possibile contattare il nostro “Ufficio Privacy” tel. 0546/21355 oppure via mail all’indirizzo privacy@ascomfaenza.it e prendere così uno specifico appuntamento.