GDPR: la GdF spiega controlli e sanzioni
Privacy, sanzioni e controlli con il GDPR: a spiegare come saranno le nuove ispezioni è il Col. Marco Menegazzo, comandante del Nucleo Speciale Privacy della Guardia di Finanza, nucleo operativo che svolge l’attività ispettiva in corrispondenza funzionale con il Garante della Privacy.
Festeggiare l’entrata in vigore del GDPR, che difende e protegge le persone: è questo l’incipit dell’intervento. Le Fiamme Gialle sono in prima linea nella protezione delle persone anche sotto il profilo della privacy e anche e soprattutto nella tutela dei dati dei cittadini.
Da sempre, Guardia di Finanza e Autorità Garante collaborano tramite attività ispettive e di controllo per la tutela della privacy; il vecchio Codice della Privacy e le sue regole, la “check list” e l’attività di pura compliance saranno totalmente superate con il GDPR.
Se prima i controlli sulla privacy si basavano su una serie di domande e su una lista di controlli ai quali, in caso di violazioni, seguivano sanzioni dai 150 ai 300.000 euro, i nuovi controlli della Guardia di Finanza basati sulla riforma della privacy introducono importanti novità.
Sugli obblighi imposti dal GDPR, i controlli della Guardia della Finanza partiranno da subito, sottolinea il Col. Menegazzo. Partiranno da subito, ad esempio, i controlli sulla nomina del DPO, ma non solo.
In sede ispettiva sarà fondamentale il concetto di accountability, responsabilizzazione: in fase di controllo l’azienda o il professionista dovrà dimostrare con ragionamento logico e tramite prove cosa è stato fatto e cosa non, dimostrando i perché del mancato adempimento (mancata nomina DPO, mancata tenuta del Registro).
Anche la scelta di non fare una determinata cosa potrà essere legittimata, ma in ogni caso dovrà essere dimostrata. In sede di controllo bisognerà rendere conto alla Guardia di Finanza delle misure messe in atto per il rispetto del GDPR.
Non soltanto bisognerà trattare i dati secondo le regole previste dal GDPR ma bisognerà dimostrare di esser consapevoli delle modalità di trattamento e di conservazione degli stessi. I titolari del trattamento dei dati dovranno render conto in maniera responsabile di quanto fatto.
Nello specifico, le ispezioni partiranno da subito sugli adempimenti obbligatori e fondamentali per l’adeguamento al GDRP:
– nomina del DPO, il responsabile della protezione dati;
– controlli sulle misure previste in caso di data breach (da intendere non come situazioni estreme ma come tutti quei casi di perdita accidentale e occasionale di dati, come il furto di un pc, di un hardisk e via di seguito);
– registro dei trattamenti: sarà la base dell’attività ispettiva, il punto dal quale la Guardia di Finanza partirà per valutare le misure per la tutela della privacy messe in atto.
Alla base dei nuovi controlli vi è la capacità per l’impresa o il professionista di saper render conto delle valutazioni fatte.
L’attività di controllo sarà slegata da una check list ma dovrà esser effettuata una constatazione con l’acquisizione di una serie di elementi.
L’attività ispettiva dovrà essere effettuata in modo da accertare il rispetto dei principi di tutela stabiliti dal GDPR.
Se il Garante dovesse ritener necessaria l’applicazione della sanzione, saranno gli elementi raccolti durante le ispezioni a garantire che questa possa esser applicata in maniera effettiva, proporzionata e dissuasiva. Le sanzioni saranno applicate sulla base dei principi stabiliti dal GDPR.
Ecco alcuni suggerimenti alle aziende per non farsi trovare impreparate:
Le ispezioni possono essere “annunciate” dal Garante o dalla GdF tramite una comunicazione (spesso solo il giorno prima dell’arrivo) ma possono anche avvenire a sorpresa. Nel primo caso, è opportuno che chi controlla la PEC dell’organizzazione (o il fax, se qualcuno lo usa ancora) si renda conto della serietà della questione e avverta subito i vertici, la funzione legal e/o compliance in modo da prepararsi all’arrivo degli ispettori.
Quale che sia il soggetto ispettore, il perimetro dell’ispezione è individuato da un documento che viene notificato al momento dell’accesso in sede: si tratta della “richiesta di informazioni” con cui il Garante domanda come siano stati assolti determinati obblighi legislativi o regolamentari in materia di protezione dei dati personali.
La richiesta di informazioni, per esempio, può includere come venga data l’informativa agli interessati, come venga raccolto il consenso ove necessario, come vengano contrattualizzati i responsabili esterni del trattamento, quali misure di sicurezza siano applicate, per quanto tempo e come vengano conservati i dati trattati ecc.
È opportuno avere una procedura interna affinché siano avvisati i vertici dell’organizzazione e siano già individuati i soggetti preposti alla gestione degli ispettori: il privacy champion (o come viene indicato chi si occupa di questioni data protection ove non sia stato nominato il DPO o ove il DPO sia all’estero), il capo dell’ufficio legale, il capo della funzione compliance, il DPO – per le strutture che ne hanno uno.
È capitato di assistere a situazioni in cui una gestione improvvisata ha portato a una serie di risposte evasive e poco circostanziate.
A proposito di risposte, è molto importante la verbalizzazione di quello che avviene e delle dichiarazioni di cui si desidera lasciare traccia. In tal senso, è consigliabile sempre riservarsi di verificare la correttezza di quanto dichiarato, anche al fine di limitare i rischi di sanzioni penali. Inoltre, è consigliabile che le dichiarazioni a verbale siano vagliate da un legale interno della società o un consulente esterno in modo da verificare che non si rivelino controproducenti o contraddittorie.
A prescindere dalla verbalizzazione, nell’interlocuzione con gli ispettori, ove non si sia sicuri di qualcosa è bene attendere e riservarsi di rispondere successivamente.
Gli ispettori potrebbero essere verosimilmente interessati alla produzione di documentazione rilevante ai fini dell’accesso (informative, contratti, policy ecc.).
Va da sé che maggiore è la compliance privacy dell’organizzazione maggiore sarà la facilità nel reperire la documentazione richiesta e soddisfare le richieste dell’Autorità. In ogni caso, tipicamente sono assegnati 15 giorni (dalla notificazione della richiesta di informazioni e quindi dal primo giorno di ispezione) per l’invio di copia della documentazione richiesta. Pertanto, il mancato soddisfacimento immediato di una (parte della) richiesta dell’Autorità è qualcosa che accade di frequente.
È consigliabile che almeno una delle persone individuate per la gestione dell’ispezione sia presente per tutto il tempo in modo da coordinare i lavori e fare da punto di riferimento sia interno che per gli ispettori. A fine giornata (di solito le ispezioni durano 2-3 giorni) è consigliabile che venga svolto un report interno di cosa è successo, allegando anche copia del verbale e, ove possibile, cosa accadrà l’indomani.
Ulteriori cautele:
– non rilasciare mai documentazione in originale ma solo copie;
– prendere nota di tutti i documenti (inclusi anche banche dati, archivi, software) visionati dagli ispettori e delle informazioni richieste e fornite;
– farsi rilasciare copia del verbale;
– dimostrarsi collaborativi e non reticenti;
– rilasciare sempre informazioni veritiere e corrette (nel dubbio, non rispondere è meglio che dare informazioni false).
In caso di richiesta di documentazione riservata, è consigliabile verificare di anonimizzare o cancellare le parti che non si desidera mettere a disposizione dell’Autorità (per esempio, i termini economici di un accordo).
Considerando che il GDPR impone una nuova prospettiva in cui saranno sempre più fondamentali le valutazioni (assessment) che ciascuna organizzazione avrà svolto e documentato al fine di dimostrare la conformità dei propri trattamenti ai nuovi principi normativi, sarà interessante vedere come saranno strutturati i prossimi accertamenti del Garante e su cosa si concentrerà l’attenzione degli ispettori.
Di fatto l’Autorità Garante, per certi versi, diventerà un “valutatore di valutazioni”. Le organizzazioni saranno sufficientemente responsabilizzate da reggere i prossimi controlli?
Lorenzo Baldanello
AEG Corporation – Studio legale VBS
MAG nr.2, marzo-aprile 2019
