GDPR: come comportarsi in caso di ispezione dell’Autorità Garante? Scarica la procedura.


In generale, gli accertamenti ispettivi possono scaturire a seguito di segnalazioni o reclami dei soggetti interessati oppure su iniziativa del Garante, per conoscere lo stato di attuazione della normativa in determinati settori pubblici e privati.

Pertanto, ove un’organizzazione abbia già ricevuto richieste di informazioni da parte dell’Autorità, questo potrebbe comportare un aumento della probabilità di ricevere una “visita di persona”. La probabilità aumenta ancora di più se le richieste di informazioni si riferiscono all’ambito oggetto del piano semestrale del Garante.

Le attività ispettive sono condotte dal Nucleo Speciale Privacy della Guardia di Finanza. Nei casi più gravi e in cui sono richieste competenze specifiche maggiori, funzionari del Garante procedono personalmente alle ispezioni con o senza il supporto della GdF.

 

I Compiti del Garante

I compiti del Garante sono stabiliti dal GDPR e dal Codice in materia di protezione dei dati personali (D.lgs n. 196 del 2003), adeguato alle disposizioni del Regolamento tramite il D.lgs n. 101 del 2018.

 

«IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI SI OCCUPA, TRA L’ALTRO, DI:

  • controllare che i trattamenti di dati personali siano conformi al Regolamento nonché a leggi e regolamenti nazionali e prescrivere, ove necessario, ai titolari o ai responsabili dei trattamenti le misure da adottare per svolgere correttamente il trattamento nel rispetto dei diritti e delle libertà fondamentali degli individui;
  • collaborare con le altre autorità di controllo e prestare assistenza reciproca al fine di garantire l’applicazione e l’attuazione coerente del Regolamento;
  • esaminare reclami;
  • (nel caso di trattamenti che violano le disposizioni del Regolamento) rivolgere ammonimenti al titolare e del trattamento o al responsabile del trattamento e ingiungere di conformare i trattamenti alle disposizioni del Regolamento; imporre una limitazione provvisoria o definitiva dl trattamento, incluso il divieto di trattamento; ordinare la rettifica, la cancellazione di dati personali o la limitazione del trattamento; 
  • adottare i provvedimenti previsti dalla normativa in materia di protezione dei dati personali;
  • segnalare, anche di propria iniziativa, al Parlamento e altri organismi e istituzioni l’esigenza di adottare atti normativi e amministrativi relativi alle questioni riguardanti la protezione dei dati personali;
  • formulare pareri su proposte di atti normativi e amministrativi; 
  • partecipare alla discussione su iniziative normative con audizioni presso il Parlamento;
  • predisporre una relazione annuale sull’attività svolta e sullo stato di attuazione della normativa sulla privacy da trasmettere al Parlamento e al Governo;
  • partecipare alle attività dell’Unione europea ed internazionali di settore, anche in funzione di controllo e assistenza relativamente ai sistemi di informazione Europol, Schengen, VIS, e altri;
  • curare l’informazione e sviluppare la consapevolezza del pubblico e dei titolari del trattamento in materia di protezione dei dati personali, con particolare attenzione alla tutela dei minori;
  • tenere registri interni delle violazioni più rilevanti e imporre sanzioni pecuniarie ove previsto dal Regolamento e dalla normativa nazionale;
  • coinvolgere, ove previsto, i cittadini e tutti i soggetti interessati con consultazioni pubbliche dei cui risultati si tiene conto per la predisposizione di provvedimenti a carattere generale.»

(https://www.garanteprivacy.it/web/guest/home/autorita/compiti)

 

I nuovi poteri di indagine, correttivi ed autorizzativi o consultivi

Fra i vari poteri riconosciuti ad ogni Autorità Garante, i primi sono quelli di indagine.

All’Autorità di Controllo è altresì riconosciuto il potere di notificare le presunte violazioni del GDPR al titolare o al responsabile del trattamento.

La sfera dei poteri correttivi ricomprende attività decisamente varie che spaziano da un mero “avvertimento” sul fatto che eventuali trattamenti possano verosimilmente violare il Regolamento, ad interventi di ben altra portata impattanti sulla operatività connessa al trattamento dei dati.

Tra i poteri correttivi emerge quello di imporre una limitazione, che può essere provvisoria o definitiva, al trattamento e che può includere anche il divieto stesso di trattamento.

In aggiunta ai delineati poteri correttivi sussiste il potere dell’Autorità di infliggere una sanzione amministrativa pecuniaria (art. 83 del GDPR).

Il terzo raggruppamento di poteri dell’autorità è riunito nell’ambito dei poteri autorizzativi e consultivi.

 

Come comportarsi in caso di ispezione

In caso di ispezione, è bene a presidiare la visita ispettiva, fino al suo termine ed è fondamentale non farsi trovare impreparati.

È opportuno avere una procedura interna affinché siano avvisati i vertici dell’organizzazione e siano già individuati i soggetti preposti alla gestione degli ispettori.

È capitato di assistere a situazioni in cui una gestione improvvisata ha portato a una serie di risposte evasive e poco circostanziate.

A proposito di risposte, è molto importante la verbalizzazione di quello che avviene e delle dichiarazioni di cui si desidera lasciare traccia. In tal senso, è consigliabile sempre riservarsi di verificare la correttezza di quanto dichiarato, anche al fine di limitare i rischi di sanzioni penali. Inoltre, è consigliabile che le dichiarazioni a verbale siano vagliate da un legale interno della società o un consulente esterno in modo da verificare che non si rivelino controproducenti o contraddittorie.

 

Scarica la bozza di procedura: