Il Garante per la protezione dei dati personali, con delibera del 22 dicembre 2021, ha varato il piano delle proprie attività ispettive relative al primo semestre del 2022 da effettuare in collaborazione con il Nucleo Speciale della Guardia di Finanza  per la Tutela privacy e frodi informatiche.

Se la Guardia di Finanza dovesse fare un’ispezione per accertare la regolarità degli adempimenti previsti dalla normativa sulla privacy, tieni presenti i seguenti accorgimenti da adottare. Prima cosa da fare è quella di informare il proprio DPO - Data Protection Officer, se nominato. Sarà lui, la cui presenza è fortemente consigliata anche dal Garante Privacy, a favorire il confronto tra Titolare del trattamento e la Guardia di finanza nei controlli. 

Chi non ha un DPO può farsi assistere dal proprio referente privacy interno o da eventuali consulenti privacy di cui si avvale.

Nel corso dell’ispezione verranno richieste prove documentali a dimostrazione del principio di Accountability - rendicontabilità - del Titolare del trattamento. I documenti richiesti  dovranno essere sempre aggiornati, come richiesto dall’art.24 del GDPR n. 2016/679 “1. Tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento. Dette misure sono riesaminate e aggiornate qualora necessario.”

I documenti da produrre

Tra i documenti da produrre nel corso di un’ispezione troviamo:

  • Il registro dei trattamenti del Titolare del trattamento, e se del caso, anche quello del Responsabile ai sensi dell’art. 30 GDPR, anche se l’organizzazione non è tenuta a dotarsene (vedi ad esempio le società con meno di 250 dipendenti);
  • l'organigramma privacy relativo alla struttura organizzativa definita, con riferimento a funzioni, compiti e responsabilità assegnate in materia di protezione dei dati personali (autorizzazioni ad accedere ai dati personali, istruzioni sul trattamento, formazione dei soggetti autorizzati);
  • I vari registri relativi a:
    • Violazioni di sicurezza sui dati personali (comunemente chiamato Registro Data Breach);
    • Audit GDPR programmati e svolti;
    • Formazione svolta e piano di formazione pluriennale;
    • Richieste degli interessati
  • le informative sui trattamenti di dati personali svolti dall’organizzazione, con riferimento non solo al contenuto delle stesse, ma anche alla modalità con cui vengono rese agli interessati; la modalità di acquisizione dei consensi, ove applicabili; la valutazione dei legittimi interessi ove vi siano trattamenti basati su tale condizione di liceità;
  • gli atti sottoscritti ai sensi dell’art. 28 GDPR con i Responsabili del trattamento ed eventuali attività di audit svolte sugli stessi;
  • l’atto di designazione del DPO o in assenza il documento di valutazione circa la decisione di non designarlo;
  • l’analisi dei rischi e valutazioni di impatto (DPIA) svolte, con particolare riferimento ad attività di marketing e profilazione, e le misure di sicurezza implementate in base ai rischi individuati;
  • le valutazioni svolte ovvero le regole implementate per determinare i periodi di conservazione dei dati o i criteri per individuarli;
  • le procedure implementate per gestire situazionidi violazione dei dati  personali - data breach;
  • la ricezione di richieste di esercizio dei diritti da parte degli interessati.

Considerato che il Regolamento Europeo si basa sull’accountability del titolare e, quindi, sulla sua capacità di implementare misure di sicurezza adeguate per proteggere i dati personali, tra la documentazione da rendere disponibile si aggiunge:

  1. Descrizione tecnica sulle misure di  pseudonominizzazione o cifratura applicate ai database dei dati personali ai sensi dell'art. 32 del GDPR;
  2. Avviso pubblicato sul sito web relativo alla gestione dei cookie come richiesto nelle “Linee Guida del Garante Privacy sui cookie e gli altri strumenti di tracciamento”;
  3. DPIA - Data protection impact assessment - eseguita per l’attività di Videosorveglianza,e di altre attività rientranti nell'elenco delle 12 macro-tipologie di trattamento pubblicate con provvedimento del Garante privacy del 11 novembre 2018 con riferimento all’art. 35, par. 4 del GDPR  da sottoporre a valutazione d’impatto.
  4. Documentazione relativa ad una valutazione sul Trasferimento di Dati Extra-UE, qualora si utilizzino software non europei ed in particolare software americani. In questo caso è necessario poter dimostrare la conformità del software al GDPR, e le politiche di adeguatezza implementate dalla società estera.

Quelle su indicate sono solo alcune tra le diverse prove documentali che possono essere prodotte dal Titolare del trattamento.

Da quanto esposto appare evidente che per il titolare del trattamento e per i suoi consulenti e referenti, al fine di essere pronti a esibire qualsiasi documento richiesto, normalmente redatto in forma elettronica, diventa indispensabile utilizzare un applicativo dedicato che aiuti a rendicontare tutti gli adempimenti assolti e le misure adottate per la protezione dei dati personali.
E' consigliabile, quindi, utilizzare un software con caratteristiche che mettono in primo piano la fondamentale esigenza di provare la compilazione e lo scambio dei documenti certificandone la data di emissione e di spedizione.
Tra questi applicativi rientra sicuramente Actaprivacy che fa della rendicontazione e del principio dell'accountability il suo primario elemento operativo.

Dott. Igino Addari

DPO Actainfo