Nella Relazione del Garante privacy sulle attività svolte nel 2020 sono state riscontrate le seguenti tipologie di violazioni, così suddivise:

-           n. 16 casi di omessa o inidonea informativa per i dati raccolti presso l’interessato (art. 13 del RGPD);

-           n. 15 casi di violazione dei principi generali applicabili al trattamento di dati personali (art. 5 del RGPD);

-           n. 11 casi di violazione delle condizioni per la liceità del trattamento (art. 6 del RGPD);

-           n. 11 casi di violazione delle condizioni per il consenso dell’interessato (art. 7 del RGPD);

-           n. 8 casi di mancata o inidonea valutazione di impatto sulla protezione dei dati (art. 35 del RGPD);

-           n. 6 casi di omessa o irregolare tenuta del registro delle attività di trattamento (art. 30 del RGPD);

-           n. 4 casi di omessa o inidonea designazione del responsabile del trattamento (art. 28 del RGPD);

-           n. 4 casi di trattamento sotto l’autorità del titolare o del responsabile svolto in assenza di istruzioni (art. 29 del RGPD);

-           n. 4 casi di omessa o inidonea designazione del Responsabile della protezione dei dati (art. 37 del RGPD);

-           n. 3 casi di omessa o inidonea informativa per dati che non siano stati ottenuti presso l’interessato (art. 14 del RGPD);

-           n. 2 casi di violazione delle condizioni applicabili al consenso dei minori in relazione ai servizi della società dell’informazione (art. 8 del RGPD);

-           n. 1 caso di violazione relativa al trattamento di categorie particolari di dati personali (art. 9 del RGPD);

-           n. 1 caso di violazione del principio di responsabilità del titolare del trattamento (art. 24 del RGPD);

-           n. 1 caso di mancata adozione di misure tecniche e organizzative adeguate a garantire un livello di sicurezza adeguato al rischio (art. 32 del RGPD).

Il totale incassato nel 2020 per sanzioni comminate dal Garante è pari a € 38.448.895,38. Di questi, € 2.185.782,06 vengono dalla riscossione coattiva e € 36.263.113,32 da pagamenti spontanei dei contravventori.

Considerata la numerosa tipologia di inadempienze e l’entità delle sanzioni che ne derivano, è  importante per il titolare del trattamento e i soggetti autorizzati al trattamento essere in grado di eseguire correttamente le attività e gli adempimenti previsti per la protezione dei dati personali dal Regolamento Europeo n. 2016/679 (GDPR) e poterli rendicontare, nel rispetto del principio di accountability in fase di ispezione.

La fondamentale importanza dell’accountability emerge soprattutto in fase di controllo del Garante, quando l’Ente, l’impresa o il professionista dovrà dimostrare agli ispettori, con ragionamento logico e documentato, quanto ha fatto concretamente per adempiere alla normativa ed eventualmente difendersi da scelte opinabili quali ad esempio il non aver nominato un Data Protection Officer o non aver predisposto o aggiornato il Registro dei trattamenti.

Un fattore determinante può essere determinato dall’avvalersi di un software dal quale estrapolare tutte le attività svolte per la compliance agli adempimenti previsti dal GDPR e dalla normativa a protezione dei dati personali. Un software largamente utilizzato con queste caratteristiche di rendicontazione automatica e prova delle attività svolte dal Titolare del trattamento a tutela dei dati personali è Actaprivacy.

Gli accertamenti ispettivi possono scaturire a seguito di segnalazioni o reclami dei soggetti interessati oppure d’ufficio su iniziativa del Garante, ad esempio in base alla pianificazione semestrale dei controlli.

Le attività ispettive sono condotte dal Nucleo Speciale Privacy della Guardia di Finanza e nei casi più gravi da funzionari del Garante i quali procedono personalmente alle ispezioni con o senza il supporto della GdF.

Le ispezioni possono essere “annunciate” dal Garante o dalla GdF tramite una comunicazione, spesso solo il giorno prima dell’arrivo, oppure possono avvenire a sorpresa. Nel primo caso la comunicazione viene fatta a mezzo PEC ed è opportuno che chi legge avverta subito i vertici aziendali, quindi il DPO/RPD se nominato, in modo da prepararsi all’arrivo degli ispettori.

Il perimetro dell’ispezione è individuato da un documento che viene notificato al momento dell’accesso in sede: si tratta della “richiesta di informazioni” con cui il Garante domanda come siano stati assolti determinati obblighi legislativi o regolamentari in materia di protezione dei dati personali.
La richiesta di informazioni può includere: modalità con cui viene data l’informativa agli interessati, modalità di raccolta del consenso – ove necessario –, come vengano contrattualizzati i responsabili esterni del trattamento, quali siano le misure di sicurezza tecniche e organizzative adottate, data retention policy dei dati trattati, la formazione erogata agli autorizzati del trattamento dei dati eccetera.

È opportuno, quindi, non farsi cogliere impreparati e individuare ex ante i soggetti preposti a relazionarsi con gli ispettori. È importante mostrarsi collaborativi con gli ispettori; atteggiamenti ostili sono decisamente controproducenti.

L’esecuzione dell’obbligo di collaborazione implica il dovere di fornire l’accesso a documenti cartacei ed elettronici contenuti in computer, hard disk e in ogni altro dispositivo informatico, l’obbligo di indicare dove sono conservati i documenti d’interesse nonché l’obbligo di fornire ogni informazione richiesta indipendentemente dal fatto che i documenti o le informazioni siano tenute in luoghi diversi o da soggetti diversi dal titolare quali responsabili del trattamento.

Le ispezioni durano mediamente 2-3 giorni, è consigliabile che almeno una delle persone individuate per la gestione dell’ispezione sia presente per tutto il tempo in modo da coordinare i lavori e fare da punto di riferimento sia interno che per gli ispettori.

Durante un’ispezione privacy verranno richiesti i seguenti documenti privacy che corrispondono alle sanzioni più ricorrenti riportate nella Relazione 2020 del Garante Privacy:

  1. registro delle attività di trattamento dei dati - art. 30 del GDPR;
  2. nomine dei responsabili del trattamento - art. 28 del GDPR;
  3. formazione svolta per gli autorizzati al trattamento dei dati - art. 29 del GDPR;
  4. nomina del Data Protection Officer (DPO/RPD) - art. 37 del GDPR;
  5. informative rese ai sensi dell’art. 13 e 14 del GDPR;
  6. consenso dell’interessato - art. 7 del GDPR;
  7. registro dei data breach  - artt. 33 e 34 del GDPR
  8. data retention policy  - art. 18 del GDPR ;
  9. redazione DPIA (Data protection impact assessment - art. 35 del GDPR.

Il registro delle attività di trattamento è il primo documento oggetto di analisi da parte dell’Autorità di controllo. Questo documento deve contenere le schede di tutti i trattamenti di dati personali eseguiti dall’organizzazione. È considerato indice di una corretta gestione dei trattamenti, per tale motivo dovrà essere sempre aggiornato, chiaro, completo e aderente alla realtà attuale. L’aggiornamento deve recare “in maniera verificabile” sia la data della sua prima istituzione sia la data del suo ultimo aggiornamento.

Le informative sui dati personali trattati vengono spesso considerate come dei formulari standard contenenti informazioni parziali, se non errate. Questo può esporre l’organizzazione al rischio di contestazioni da parte del Garante.

La mancata corrispondenza di registri e moduli agli adempimenti da assolvere può comportare responsabilità penali. La falsità nelle dichiarazioni rese all’Autorità viene infatti sanzionata dal Codice Privacy con la reclusione da 6 mesi a 3 anni. Quindi, in sede di ispezione, esibire documenti che non rappresentano le effettive attività di trattamento svolte dall’azienda (in particolar modo per il Registro dei trattamenti), aumenta il rischio della contestazione di tale reato.

Dal registro, se bene compilato, sarà possibile disegnare una mappa immediata dei flussi di dati in entrata e in uscita, dei relativi responsabili oltreché delle misure di sicurezza adottate. In base poi al processo dichiarato, se ne valuterà la gestione, anche dal lato informatico.

Anche avere un Organigramma Privacy aggiornato può dimostrare l’accountability del titolare. Dotarsi di un modello organizzativo valido, infatti, significherebbe non solo aiutare l’azienda a garantire il rispetto della normativa, ma anche avere un maggior controllo delle proprie attività.

Sulla base delle risultanze del Registro dei trattamenti si procederà, successivamente, ad effettuare gli ulteriori controlli fra cui, se prevista, la nomina del Data Protection Officer (DPO/RPD) per poi passare alla nomine dei responsabili (ex art. 28 GDPR) e in particolare, alla verifica delle relative istruzioni sul trattamento impartite dal titolare al fornitore esterno mediante contratti o atti giuridici.

Conclusa l’attività ispettiva sarà importante verbalizzare quanto emerso e, eventualmente, mettere a verbale dichiarazioni di cui si desidera lasciare traccia. In caso di dubbio, è meglio non rispondere che dare informazioni false.
Riservarsi di esaminare la correttezza di quanto dichiarato e far vagliare le dichiarazioni messe a verbale dal DPO/RPD o da un consulente privacy, anche  esterno, in modo da verificare che le dichiarazioni rese non si rivelino controproducenti o contraddittorie.

Alla luce di quanto detto è quindi opportuno mettere in pratica alcuni suggerimenti pratici in modo da affrontare al meglio la fase della verbalizzazione:

  1. avvisare tempestivamente il Titolare del trattamento e DPO/RPD se nominato
  2. annotare tutte le informazioni richieste e fornite;
  3. prendere nota di tutti i documenti (incluse banche dati, archivi, sistemi informatici) visionati dagli ispettori;
  4. rilasciare solo copie e mai documentazione in originale
  5. farsi rilasciare sempre copia del verbale d’ispezione.

Maggiori saranno l’accountability e  la compliance privacy dell’organizzazione maggiore sarà la facilità nel soddisfare le richieste degli ispettori e, quindi, dell’Autorità evitando eventuali sanzioni che. secondo la gravità possono ammontare fino a 20 milioni di Euro o fino al 4% del fatturato se l'importo risultasse più elevato.

Dott. Igino Addari
DPO ACTAINFO