Le Ispezioni del Garante
Ogni anno il Garante della protezione dei dati effettua ispezioni presso i titolari del trattamento, sulla base
- di un programma stilato semestralmente;
- della segnalazione di eventuali incidenti di sicurezza (data breach);
- dei reclami ricevuti dall’autorità.
Le attività vengono svolte in collaborazione, se non direttamente delegate, con il Nucleo Speciale Tutela Privacy e Frodi Informatiche della Guardia di Finanza.
I documenti da fornire al Garante o alla Guardia di finanza
Potrebbe accadere che la tua attività venga sottoposta ad una ispezione.
E allora che fare? Se hai un consulente privacy che ti segue o un DPO, sicuramente ti avrà già spiegato come comportarti.
Non ti assiste nessuno? Non ti preoccupare, ora ti spiego quale documentazione ti serve e devi mostrare durante l’ispezione..
Tra i documenti da presentare ci sono:
- i documenti relativi struttura organizzativa relativa alla privacy. In essa devono essere definiti i ruoli (es. autorizzati, responsabili), devono esser presenti le nomine, o i DPA, ecc…
- il Registro delle attività di Trattamento (quello del Titolare del Trattamento, e se esiste quello del Responsabile del Trattamento)
- le procedure implementate (es. quella relativa alla Gestione di un Data Breach o alla ricezione di una richiesta di esercizio dei diritti da parte degli interessati);
- le informative sui trattamenti di dati personali svolti dall’organizzazione. E’ importante documentare non solo il contenuto delle informative, ma anche il modo con cui vengono fornite agli interessati;
- la modalità di acquisizione dei consensi, se li richiedi in qualche trattamento;
- la valutazione dei legittimi interessi ove vi siano trattamenti basati su questa base giuridica;
- gli atti sottoscritti ai sensi dell’art. 28 GDPR con i Responsabili del trattamento ed eventuali attività di audit svolte su di essi;
- l’atto di designazione del DPO o in assenza il documento di valutazione circa la decisione di non designarlo;
- l’analisi dei rischi e valutazioni di impatto (DPIA) svolte;
- le misure di sicurezza implementate in base ai rischi individuati;
- le regole implementate per determinare i periodi di conservazione dei dati o i criteri per individuarli;
- gli audit svolti internamente per la verifica della conformità;
- il piano di formazione e la formazione svolta all’interno dell’organizzazione relativamente ai temi del GDPR;
E tu sei pronto?
La documentazione elencata dimostra l’accountability del titolare, cioè la sua responsabilità.
Accountable è l’azienda, l’ente, l’associazione o il professionista che tratta i dati personali con la consapevolezza che quelle informazioni non sono sue e che deve fare tutto il possibile perché non accada loro nulla di male.
Rispondi a queste 3 domande:
1- Hai implementato la documentazione obbligatoria?
2- Hai fatto formazione ai tuoi dipendenti?
3- Hai adottato le misure di sicurezza organizzative e tecniche adeguate alla tua attività?
Se non sai come rispondere anche ad una sola delle tre domande, io ti posso aiutare. Contattami