PIANO DELLE ISPEZIONI PRIVACY DEL I SEMESTRE 2022

Il Garante per la Protezione dei Dati ha pubblicato il piano dell’attività ispettiva relativa al periodo gennaio – giugno 2022.

Le attività verranno svolte in collaborazione o direttamente delegate al Nucleo Speciale Tutela Privacy e Frodi Informatiche della Guardia di Finanza; oltre alle attività programmate il Garante ed il Nucleo Speciale, possono condurre ulteriori attività ispettive a seguito di segnalazioni o di reclami.

Per questo primo semestre le attività ispettive programmate saranno 60 e avranno come oggetto:

a) gli accertamenti nei confronti di profili di interesse generale per categorie di interessati nell’ambito di:

• trattamenti di dati personali svolti da “fornitori di database”;
• trattamento di dati personali svolti da piattaforme e siti web in ordine alla corretta gestione dei cookies;
• trattamento di dati personali nel settore della c.d. “videosorveglianza”;
• trattamento di dati personali da parte di siti di incontri;
• trattamento di dati personali da parte di operatori dell’ambito della c.d. “data monetization”;
• trattamento di dati personali da parte di produttori e distributori di smart toys;
• trattamento di dati personali da parte di algoritmi e intelligenza artificiale in ambito pubblico e privato;

b) gli accertamenti nei confronti di soggetti pubblici e privati, al fine di verificare l’osservanza delle disposizioni in materia di protezione dei dati personali, con particolare riferimento

• alla corretta individuazione dei titolari e dei responsabili del trattamento, anche in relazione all’utilizzo di app. e altri applicativi informatici;
• all’acquisizione di informazioni e dati personali da parte di app istallate sugli smartphone
• alla verifica sul corretto trattamento dei dati da parte di app diverse da Verifica C19.

COSA FARE PER NON FARSI TROVARE IMPREPARATI

Se la Guardia di Finanza dovesse fare un’ispezione nella tua azienda, sapresti cosa fare?

Come prima cosa si deve contattare il proprio DPO, se nominato.

Sarà infatti il DPO che agevolerà il confronto tra Titolare del trattamento e la Guardia di finanza nei controlli; la presenza del DPO è inoltre fortemente consigliata anche dal Garante Privacy.

E chi non ha un DPO? Può farsi assistere dal proprio referente privacy interno o dai consulenti privacy che lo assistono.

Durante l’ispezione verranno richieste alcune prove documentali a dimostrazione del principio di Accountability del Titolare del trattamento.

Tali documenti dovranno essere sempre aggiornati, così come richiesto dall’art.24 del GDPR “1. Tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento. Dette misure sono riesaminate e aggiornate qualora necessario.”

DOCUMENTI PER DIMOSTRARE LA CONFORMITA’

Quali sono?

Tra i documenti da produrre nel corso di un’ispezione troviamo:

• Il REGISTRO DEI TRATTAMENTI del Titolare del trattamento, e se del caso, anche quello del Responsabile ai sensi dell’art. 30 GDPR, anche se l’organizzazione non è tenuta a dotarsene (vedi ad esempio le società con meno di 250 dipendenti). Per capire quando è necessario compilare il Registro delle attività di Trattamento, consiglio di far riferimento alle FAQ del Garante Privacy sul registro dei trattamenti;
• il set documentale relativo alla struttura organizzativa definita, con riferimento a funzioni, compiti e responsabilità assegnate in materia di protezione dei dati personali (i.e. organigramma privacy, autorizzazioni ad accedere ai dati personali, istruzioni sul trattamento, nomina ad amministratore di sistema);
• le procedure implementate per gestire situazioni quali il verificarsi di un data breach e la ricezione di una richiesta di esercizio dei diritti da parte degli interessati;
• I vari registri relativi a
  • Violazioni di sicurezza sui dati personali (comunemente chiamato Registro Data Breach);
  • Audit GDPR programmati e svolti;
  • Formazione svolta e piano di formazione pluriennale;
  • Richieste degli interessati
• le informative sui trattamenti di dati personali svolti dall’organizzazione, con riferimento non solo al contenuto delle stesse, ma anche alla modalità con cui vengono rese agli interessati; la modalità di acquisizione dei consensi, ove applicabili; la valutazione dei legittimi interessi ove vi siano trattamenti basati su tale condizione di liceità;
• gli atti sottoscritti ai sensi dell’art. 28 GDPR con i Responsabili del trattamento ed eventuali attività di audit svolte sugli stessi;
• l’atto di designazione del DPO o in assenza il documento di valutazione circa la decisione di non designarlo;
• l’analisi dei rischi e valutazioni di impatto (DPIA) svolte, con particolare riferimento ad attività di marketing e profilazione, e le misure di sicurezza implementate in base ai rischi individuati;
• le valutazioni svolte ovvero le regole implementate per determinare i periodi di conservazione dei dati o i criteri per individuarli.

Queste sono le documentazioni da mostrare nel caso di verifica generale della conformità al GDPR, ma sappiamo bene che il Regolamento Europeo si basa sull’accountability del titolare e sulla sua capacità di implementare misure di sicurezza adeguate per proteggere i dati personali.