Le Ispezioni del Garante

Ogni anno il Garante della protezione dei dati effettua ispezioni presso i titolari del trattamento, sulla base

• di un programma stilato semestralmente;
• della segnalazione di eventuali incidenti di sicurezza (data breach);
• dei reclami ricevuti dall’autorità.

Le attività vengono svolte in collaborazione, se non direttamente delegate, con il Nucleo Speciale Tutela Privacy e Frodi Informatiche della Guardia di Finanza.

I documenti da fornire al Garante o alla Guardia di finanza

Potrebbe accadere che la tua attività venga sottoposta ad una ispezione.

E allora che fare? Se hai un consulente privacy che ti segue o un DPO, sicuramente ti avrà già spiegato come comportarti.

Non ti assiste nessuno? Non ti preoccupare, ora ti spiego quale documentazione ti serve e devi mostrare durante l’ispezione..

Tra i documenti da presentare ci sono:

1. i documenti relativi struttura organizzativa relativa alla privacy. In essa devono essere definiti i ruoli (es. autorizzati, responsabili), devono esser presenti le nomine, o i DPA, ecc…
2. il Registro delle attività di Trattamento (quello del Titolare del Trattamento, e se esiste quello del Responsabile del Trattamento)
3. le procedure implementate (es. quella relativa alla Gestione di un Data Breach o alla ricezione di una richiesta di esercizio dei diritti da parte degli interessati);
4. le informative sui trattamenti di dati personali svolti dall’organizzazione. E’ importante documentare non solo il contenuto delle informative, ma anche il modo con cui vengono fornite agli interessati;
5. la modalità di acquisizione dei consensi, se li richiedi in qualche trattamento;
6. la valutazione dei legittimi interessi ove vi siano trattamenti basati su questa base giuridica;
7. gli atti sottoscritti ai sensi dell’art. 28 GDPR con i Responsabili del trattamento ed eventuali attività di audit svolte su di essi;
8. l’atto di designazione del DPO o in assenza il documento di valutazione circa la decisione di non designarlo;
9. l’analisi dei rischi e valutazioni di impatto (DPIA) svolte;
10. le misure di sicurezza implementate in base ai rischi individuati;
11. le regole implementate per determinare i periodi di conservazione dei dati o i criteri per individuarli;
12. gli audit svolti internamente per la verifica della conformità;
13. il piano di formazione e la formazione svolta all’interno dell’organizzazione relativamente ai temi del GDPR;

E tu sei pronto?

La documentazione elencata dimostra l’accountability del titolare, cioè la sua responsabilità.

Accountable è l’azienda, l’ente, l’associazione o il professionista che tratta i dati personali con la consapevolezza che quelle informazioni non sono sue e che deve fare tutto il possibile perché non accada loro nulla di male.

Rispondi a queste 3 domande:

1- Hai implementato la documentazione obbligatoria?

2- Hai fatto formazione ai tuoi dipendenti?

3- Hai adottato le misure di sicurezza organizzative e tecniche adeguate alla tua attività?

Se non sai come rispondere anche ad una sola delle tre domande, io ti posso aiutare. Contattami