Come prepararsi a un’ispezione del garante privacy?
8 Febbraio 2021 in DPO as a Service
In seguito alla piena applicabilità del GDPR (il regolamento europeo per la protezione dei dati personali) a partire da maggio 2018, l’attività di ispezione del garante si è molto intensificata. In relazione al nuovo sistema sanzionatorio implementato, è ad esempio aumentata l’entità delle sanzioni comminate, arrivando anche a valori molto elevati in alcuni settori, come ad esempio il mondo delle telecomunicazioni e quello della distribuzione dell’energia.
Ispezione garante: gli obblighi del titolare del trattamento
Nel caso di ispezione del garante, il titolare deve dimostrare non solo quanto è stato fatto per raggiungere la compliance ma anche le ragioni che lo hanno portato a prendere certe decisioni e le motivazioni alla base delle scelte, come prevede l’articolo 5 del regolamento GDPR dove si afferma che il titolare del trattamento deve “comprovare” la propria conformità alle norme.
Il titolare dovrà ad esempio essere in grado di dimostrare le ragioni della scelta di un certo livello di rischio in materia di sicurezza o il perché della decisione di notificare (o meno) un data breach all’autorità garante e agli interessati. Inoltre, in relazione all’introduzione di un nuovo trattamento il titolare dovrà essere in grado di dimostrare di aver rispettato le norme del regolamento che prescrivono la data protection by design.
In sintesi, al titolare si richiede di far riferimento al concetto di accountability, il principio alla base del Regolamento.
Ispezione garante: suggerimenti per dimostrare di essere compliant
Nel corso dell’ispezione, il titolare del trattamento deve garantire la massima collaborazione e fornire informazioni accurate e veritiere all’autorità di controllo. Deve essere fatto a monte la maggior parte del lavoro per poter dimostrare la propria compliance al GDPR.
La nomina del DPO, grazie alle sue attività di controllo svolte in modo corretto e pianificato, può aiutare il titolare ad affrontare per tempo la maggior parte delle problematiche, oggetto di una potenziale ispezione del garante, consentendo all’azienda di farsi trovare preparata. La sua facile reperibilità e ancor più la sua presenza nel corso della visita ispettiva è un ulteriore vantaggio per l’organizzazione.
Un secondo suggerimento è assicurarsi che sia completo e sempre aggiornato il registro trattamenti che rappresenta la base per l’adempimento degli obblighi previsti dal GDPR. Oltre al registro deve essere a disposizione e facilmente reperibile, , la documentazione a corredo che potrebbe essere richiesta nel corso dell’ispezione del garante, come, ad esempio, le informative, i moduli di consenso, le analisi del rischio, le valutazioni di impatto, ecc.
Un terzo suggerimento è formalizzare le scelte prese. Nel caso si decida, ad esempio, che un determinato trattamento non necessiti di una valutazione di impatto, si può rischiare di non essere in grado, durante un’ispezione del garante, di dimostrare quando è stata presa la decisione e per quali ragioni. Con il passare del tempo diventa infatti difficile ricostruire le ragioni di una scelta se non opportunamente formalizzate.
Un quarto suggerimento è documentare le attività svolte dal DPO che, soprattutto nel caso di nomina obbligatoria, potrebbero essere oggetto di verifica.
L’ultimo suggerimento è simulare l’ispezione del garante per verificare se l’organizzazione è pronta ad affrontarla.
Coerenza fra documentazione e operatività durante un’ispezione garante: il ruolo del DPO
È errato ritenere che le attività ispettive si limitino al controllo della compliance documentale e non scendano invece al livello operativo. Al titolare trattamento verrà infatti richiesto di dimostrare che l’operatività sia conforme con quanto descritto nella documentazione legale.
L’attività ispettiva andrà ad esempio a verificare che sia effettivamente rispettato il tempo di conservazione di certi dati personali, indicato nel registro, controllando la corrispondenza a livello dei sistemi informativi.
È di conseguenza indispensabile garantire la coerenza fra quanto scritto nei documenti e quanto effettivamente svolto nella realtà aziendale.
Come ultima considerazione ricordiamo che è fondamentale coinvolgere nella gestione della data protection anche le diverse figure che si occupano dei singoli trattamenti. In caso di ispezione del garante vengono infatti effettuate verifiche specifiche su un trattamento o un determinato insieme di trattamenti, chiamando in causa le persone che in azienda se ne occupano, e molto spesso sono diverse dalle funzioni dedicate al rispetto della conformità dal punto di vista normativo. Per prepararsi all’ispezione garante va dunque coinvolta tutta l’organizzazione nelle decisioni e nella conoscenza di quanto è stato fatto in materia di protezione dei dati personali.