9_GDPR non ti temo – Garante: come gestire l’evento ispettivo

COS’È L’ISPEZIONE DEL GARANTE


Le ispezioni del Garante rientrano in un piano ispettivo (vedi articolo) oppure scaturiscono da reclami segnalati all’Autorità (vedi reclamo).
Si tratta di controlli fatti dal Nucleo Privacy della Guardia di Finanza per verificare l’applicazione della normativa ed è fondamentale che i Titolari e i Responsabili siano preparati per gestirle.
In generale è meglio avere un atteggiamento collaborativo, innanzitutto perché atteggiamenti ostili, o limitanti, sono decisamente controproducenti, poi perché vi è un obbligo di collaborazione, che implica alcune responsabilità specifiche:

  • fornire l’accesso a documenti cartacei e in formato elettronico contenuti in computer, hard disk nonché in ogni altro dispositivo informatico
  • indicare dove sono conservati i documenti d’interesse
  • fornire ogni informazione richiesta indipendentemente dal fatto che i documenti o le informazioni siano tenute in luoghi diversi o da soggetti diversi dal titolare quali responsabili del trattamento

Ovviamente il caso di ispezione è sempre uno stress, sia psicologicamente che operativamente: interruzione dell’attività, sentirsi in situazione “di esame”, le ispezioni vanno innanzitutto gestite dal punto di vista emotivo, senza risposte d’impeto.
Il Titolare, e i suoi Responsbili, non possono cadere dalle nuvole quando viene chiesto il registro dei trattamenti, nè appellarsi al “sa tutto il mio consulente”, il primo interessato è lui e questo non farebbe assolutamente una bella impressione.

Quindi bisogna agire con calma, se si è affrontato il percorso di formazione ed informazione, se il consulente ha fatto il lavoro corretto le risposte saranno sicuramente corrispondenti a quanto eseguito.


I consigli sono quelli di adottare un atteggiamento propositivo, proporsi come riferimento e dimostrare di essere preparati, senza parlare troppo, e senza strafare presentando documentazione non richiesta: più si parla e più si rischia di ampliare l’indagine.
Fare solo dichiarazioni e affermazioni che possono essere provate ed evitare assolutamente di dichiarare il falso o di omettere le informazioni richieste.

Tutto questo potrebbe diventare un protocollo di comportamento (anche per prepararsi adeguatamente) e diventare una procedura di gestione dell’ispezione: un documento che illustra le procedure, i ruoli e i comportamenti da seguire in caso di ispezione


Cosa possono fare gli ispettori

Gli ispettori hanno diritto di accedere agli uffici o luoghi dove dev’essere svolta l’ispezione dalle 7 alle 20, anche per diversi giorni e richiedere ogni documento o informazione oggetto della verifica.
Possono anche apporre i sigilli su database e documenti.
Possono svolgere interrogatori ai cui si deve rispondere in modo corretto, chiaro e non evasivo, e soprattutto facendo riferimento alle procedure adottate in modo da evitare risposte generiche, questi interrogatori possono essere registrati dagli ispettori.

Evitiamo di fare affermazioni avventate, piuttosto riserviamoci di fornire chiarimenti, risposte e documentazione più dettagliata in seguito.

Cosa non possono fare gli ispettori
  • Non possono cercare documenti che non hanno alcun collegamento con l’ispezione.
  • Non possono richiedere l’originale dei documenti, dovrete consegnare soltanto copie dei documenti e degli atti.
  • Non possono effettuare interviste e porre domande non pertinenti all’oggetto dell’ispezione.

Le informazioni assunte in tal modo potranno essere impugnate con le modalità consentite dalla legge.

Come avviene un’ispezione

Gli incaricati delle aree coinvolte dovranno coinvolgere il Titolare, il DPO – se presente – e il legale di riferimento.
Questi dovranno richiedere l’autorizzazione all’ispezione e verificarla, dando il via libera all’ispezione.
Dovrà essere redatto un registro dell’ispezione – predisposto precedentemente – e al termine rivedere e siglare il verbale.
Il legale rappresentante – Titolare o suo delegato – dovrà essere a disposizione per sottoscrivere il relativo verbale.

È utile tenere a disposizione la documentazione: il Registro dei Trattamenti o una check-list di accountability che elenchi la documentazione, le procedure, i processi e le misure di sicurezza.

Nel Registro dovranno essere elencate tutte le misure organizzative e tecniche adottate all’interno dell’azienda, compresi eventuali audit privacy, corsi di formazione, esercizio dei diritti degli interessati, tenuta registri, raccolta dei consensi, registro data breach.


Documenti utili
A seconda delle dimensioni aziendali sono utili alcuni documenti che possano certificare o documentare i comportamenti tenuti dall’azienda e dai suoi incaricati:

  • modello organizzativo privacy (M.O.P) nella quale vengono racchiuse tutte le scelte effettuate in ambito privacy e dal quale si desume la struttura e l’organizzazione dell’azienda;
  • registro dei trattamenti (dovrebbe essere messa a disposizione una -art. 30 GDPR-): è il primo documento che chiedono i funzionari del Garante, il quale lo consiglia fortemente anche al di fuori dei casi in cui la tenuta dello stesso non sia obbligatoria, proprio per poter verificare l’effettiva attuazione dei modelli di privacy “consapevole”;
  • copia delle informative (artt. 13 e 14 del GDPR) e della relativa documentazione (come si è giunti alla determinazione delle stesse);
  • consensi (se previsti) indicando con quali modalità sono stati raccolti (artt. 7 e 8 del GDPR), con eventuali indicazioni di soggetti minori vulnerabili, uso dei dati a fini promozionali, trasferimento in paesi Extra-CEE, e copia della relativa documentazione;
  • se ci sono raccolte di dati tramite siti web occorrerà essere in grado di dimostrare la raccolta del consenso e la corrispondenza del codice del sito web ai requisiti di protezione e affidabilità;
  • elenco delle nomine: Responsabili interni, esterni, amministratore di sistema nonché eventuali atti di co-titolarità e/o di titolarità autonoma qualora presenti, designazione dei responsabili esterni (e/o sub responsabili) con acquisizione del relativo contratto/accettazione incarico(art. 28 GDPR);
  • eventuale nomina del DPO se necessario (artt. 37 e ss. GDPR);
  • elenco dei soggetti autorizzati o incaricati ad accedere ai dati personali oggetto del trattamento (art. 29 del GDPR) con atti di nomina ad incaricati del trattamento e relativa la formazione; in questo caso sarebbe opportuno mantenere copia della attestazione di formazione con i programmi svolti;
  • individuazione degli assets utilizzati per trattare/conservare i dati personali, precisando se sono gestiti direttamente o da terzi; nel caso di soggetti terzi sarebbe opportuno mantenere copia delle SLA e dei contratti di servizio;
  • elenco delle procedure per l’esercizio dei diritti degli interessati (artt. 15 a 22 GDPR), per la gestione dei data breach (con relativo Registro), per la conservazione dei dati (Data Retention) esponendo tempi e metodi;
  • procedure relative ai sistemi informativi – utile il certificato ISO 27001 – nonché la corretta adozione di procedure per dati raccolti tramite videosorveglianza o geolocalizzazione;
  • eventuali valutazioni dei rischi (Risk Assessment) ed DPIA (Data Protection Impact Assessment);
  • eventuali altre certificazioni.

Per alcuni casi (società di marketing) il controllo verterà sulla gestione conto terzi dei dati, in tal caso dovremo dimostrare di avere ottenuto un corretto incarico da parte del Titolare del Trattamento e di svolgerlo in modo corretto, pertanto potrebbero chiederci:

  • l’elenco delle società per conto delle quali vengono effettuate le chiamate e per ciascuna di esse fornire il numero di utenti contattati negli ultimi sei mesi e dei relativi contratti stipulati per l’effettuazione di campagne a carattere commerciale;
  • le fasi operative per gestire le liste dei numeri da contattare, con tutti i passaggi per il caricamento e la consultazione sui sistemi;
  • dimostrare la fonte di acquisizione delle liste oltre alla check list di controllo con il Registro delle opposizioni, le modalità di ottenimento consenso, facendo particolare attenzione al trattamento per fini di marketing;
  • siccome dovremmo essere stati incaricati Responsabili Esterni del trattamento, sarebbe utile tenere un Registro (Registro del responsabile del trattamento) in cui si indicheranno i nominativi di tutti i soggetti per conto dei quali vengono svolti i trattamenti indicando le tipologie di trattamento dei dati che viene svolto; questo è praticamente la versione del Registro dei Trattamenti del Titolare ma limitato alle competenze assegnate al Responsabile.

Misure tecniche (art. 32 del GDPR)
Le misure tecniche da adottare richieste dalla normativa sono fondamentalmente:

  • pseudonimizzazione e cifratura dei dati personali: per mantenere riservati e non riconducibili i dati;
  • privacy by design e by default: per progettare applicazioni che assicurino il rispetto della privacy fin dal momento in cui si definisce il trattamento con tali strumenti

Ovviamente per adottarle dovranno essere prese in considerazione le richieste del GDPR (minimizzazione, esattezza, ecc) sia alcune misure più tecniche dedicate ad assicurare la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi del trattamento; in particolare dovrà essere dimostrata la capacità di ripristinare la disponibilità e l’accesso dei dati in caso di incidente fisico o tecnico; la possibilità di verificare l’accesso da parte di persone non autorizzate e la conservazione dei log di accesso e della validità delle credenziali. Per questo è necessario avere una procedura per testare regolarmente l’efficacia delle misure adottate (anche tramite audit).


È importante:

  • indicare tutte le misure per accedere alle cartelle (username e password – modalità di autenticazione);
  • come vengono eseguiti i backup;
  • antivirus presenti;
  • eventualmente una relazione sullo stato dei sistemi (gap analysis);
  • ed eseguire regolarmente audit e del monitoraggio (documentandoli).

L’importanza degli audit
Perché è importante effettuare sistematicamente degli audit?
Per verificare l’effettiva implementazione dei processi adottati in tema di trattamento dei dati personali.
È infatti una prassi molto comune scrivere una cosa e farne un’altra, o non farla affatto.
Sperare di farla franca in caso di ispezione diventa una cosa molto complicata.
Uno dei temi principali da affrontare durante la formazione (e da riprendere durante gli audit come “laboratorio di test”) è quello della formazione; saper gestire un’ispezione ed effettuare delle “prove di ispezione” a sorpresa infatti rende preparati anche psicologicamente quando l’evento avviene veramente.

Conclusioni

Di certo “subire” un’ispezione non è piacevole, ma preparandosi adeguatamente può certamente aiutare ad affrontarla con maggiore serenità. Essere preparati sulla materia e sulla documentazione, non improvvisare, restare calmi e rispondere con competenza e professionalità sono sicuramente la soluzione migliore.