Ci chiediamo spesso cosa succede nel corso di un’ispezione privacy, e ciò soprattutto da quando è decorso il termine ultimo di mitigazione delle sanzioni ossia il 19 maggio u.s.
Prima di tutto è importante individuare chi svolge le ispezioni: le ispezioni in ambito privacy vengono effettuate dalla Guardia di Finanza e più precisamente dal nucleo privacy e dal nucleo frodi tecnologiche, e durano normalmente 3/4 giorni.
Sebbene spesso le ispezioni siano (come nel caso dei soggetti che abbiano a disposizione banche dati di rilevanti dimensioni) ovvero scaturiscano da segnalazioni o rimostranze poste in essere da utenti, ogni ispezione privacy può essere effettuata nei confronti di qualsiasi soggetto che tratti dati personali, anche in occasione di un controllo fiscale.
Ma cosa avviene esattamente durante un’ispezione privacy?
È necessario considerare che la normativa GDPR ruota attorno al noto principio dell’accountabilityResponsabilità nell' adozione di approcci e politiche azien... ossia della responsabilizzazione del Titolare. Conseguentemente, durante un’ispezione, verrà valutata e soppesata con grande rispetto ogni scelta del Titolare del trattamento, la quale – assumendo un ruolo centrale – deve essere ab origine pensata e studiata attentamente dal Titolare, senza contare che dovrà necessariamente essere sempre dimostrabile il ragionamento che la sottende.
Ecco che, quando il nucleo privacy chiederà – come prima cosa – se avete o meno nominato un DPO, qualora ricadiate in questa ultima ipotesi, è importante dimostrare che vi siete posti il problema e che dopo un’attenta analisi dei parametri individuati dal GDPR in relazione alla vostra realtà aziendale, avete ritenuto non ricadere nei casi di nomina obbligatoria.
Inutile segnalare, inoltre, che il senso di tutta l’ispezione è quello di verificare con quali modalità effettuate ogni trattamento di dati personali, sia interno che esterno alla vostra azienda, e quali misure di sicurezza avete implementato al fine di rendere più sicuro ogni processo. Ecco che al di là della verifica di tutti i contratti di nomina che avete predisposto, tornerà molto utile possedere un Registro dei Trattamenti aggiornato. Quest’ultimo, infatti, è stato pensato come strumento di lavoro del Titolare, dovendo pertanto corrispondere esattamente alla vostra realtà aziendale.
Ad ogni modo sono tre le cose che noi consigliamo di fare a tutti i nostri clienti al momento dell’ispezione:
1) Contattare il proprio DPO o consulente privacy;
2) Mettere a disposizione della Guardia di Finanza tutta la documentazione rilevante in ambito privacy;
3) Difendersi unicamente sulla base di rilevanze documentali.
Non dimentichiamo mai, in conclusione, che un’azienda può definirsi realmente privacy compliant esclusivamente quando accompagna l’adeguamento formale con quello sostanziale della propria realtà aziendale: solo in questo modo dimostrerà di aver realmente compreso il senso di tutta la normativa vigente in materia di tutela e protezione dei dati personali.