[CYBERTOOL] Gestione di un’ispezione del Garante Privacy: come la gestirebbe la tua azienda?

L’ultimo Cybertool che vogliamo proporre ai nostri lettori, a conclusione di un percorso che ha avuto sempre come focus la Cybersecurity Awareness e tutte le sue importanti sfaccettature, pone l’attenzione sulle modalità di gestione di un’ispezione da parte del Garante della Protezione dei Dati Personali. 

 

Con questo articolo, vogliamo indicare ai nostri lettori alcune tra le modalità più adatte per gestire e partecipare attivamente alle attività ispettive del Garante Privacy, individuando i 6 step fondamentali per una corretta organizzazione. 

 

Fase 1: come riconoscere un’ispezione 

Innanzitutto, è opportuno ricordare che un’ispezione può essere eseguita anche senza preavviso. 

Qualora gli ispettori provvedano ad anticipare il proprio arrivo, all’azienda la notizia potrebbe pervenire anche solo il giorno prima dell’inizio delle attività da parte del dipartimento ispettivo del Garante o dalla Guardia di Finanza, con delega. 

L’Autorità ispettiva, dunque, potrà richiedere all’azienda di: 

  • controllare, estrarre ed acquisire copia dei documenti anche in formato elettronico; 
  • richiedere tutte le informazioni e spiegazioni necessarie per lo svolgimento dei propri compiti; 
  • accedere a banche dati e archivi, anche acquisendone copia; 
  • effettuare accertamenti, ispezioni o verifiche nei luoghi ritenuti rilevanti. 

Fase 2: la creazione del Team 

Per assicurare la corretta e puntuale gestione di un’ispezione, è di particolare importanza individuare un Team a apposito che possa intervenire tempestivamente, predisponendo nomine specifiche e attribuendo ruoli e compiti precisi. 

In linea generale, il Team dovrà essere composto da soggetti in grado di fornire all’azienda un’assistenza qualificata, rientrando tra questi: 

  • Il privacy manager o i componenti del team privacy aziendale; 
  • Il responsabile IT; 
  • Il responsabile delle risorse umane; 
  • Il responsabile compliance; 
  • Il responsabile dell’ufficio legale, ove presente; 
  • Il consulente privacy dell’azienda; 
  • Il DPO. 

Fase 3: individuare i documenti da produrre 

Al fine di fornire tempestivamente i riscontri alle richieste provenienti dall’Autorità di controllo, l’azienda mantenere aggiornati la documentazione privacy, tra cui: 

  • organigramma aziendale, con indicazione della struttura e dell’organizzazione aziendale, completo di funzionigramma 
  • registro del trattamento, del data breach e delle richieste pervenute dagli interessati; 
  • decreto di designazione del DPO (in assenza di nomina, verbale indicante le motivazioni dell’omessa nomina), nomina del Team privacy, degli autorizzati al trattamento e degli amministratori di sistema (ADS); 
  • procedure per la gestione del data breach, per la gestione delle richieste provenienti dagli interessati; 
  • data retention policy; 
  • documenti relativi all’analisi del rischio, della determinazione dei trattamenti e delle finalità, LIA, DPIA 

oltre a quanto altro risulti necessario per verificare l’accountability aziendale. 

Fase 4: come gestire l’ispezione 

È buona prassi procedere ad una corretta gestione dell’ispezione, sin dall’ingresso dei soggetti incaricati dall’Autorità di controllo. 

In particolare, si consiglia di: 

  • annotare il nominativo dei funzionari sin dal loro primo contatto in reception, fornendo l’informativa privacy; 
  • garantire la predisposizione di spazi dedicati e caratterizzati da idonea riservatezza. 

Una volta avvisato il Referente Privacy, questo dovrà: 

  • convocare il team individuato e nominato dall’azienda; 
  • coordinare, insieme al responsabile delle risorse umane, la comunicazione ai dipendenti, indicando che è in atto un’ispezione, che è necessaria la collaborazione di tutti e che deve essere mantenuta confidenzialità sulla stessa, coordinandosi ove necessario con i propri rispettivi responsabili; 
  • coordinare, insieme al responsabile compliance e al responsabile dell’ufficio legale, le comunicazioni verso le società controllate e/o controllanti. 

Nel corso dell’ispezione il team nominato provvederà a: 

  • analizzare le richieste al fine di fornire puntuale riscontro, anche attraverso l’esibizione della documentazione necessaria; 
  • garantire l’accesso a documenti (sia elettronici che cartacei), dando evidenza dei luoghi e delle modalità di archiviazione; 
  • rendere qualsiasi altra informazione richiesta attinente con le attività di indagine. 

Fase 5: la conclusione dell’ispezione 

Prima della conclusione del verbale, si consiglia di revisionarlo verificando i documenti forniti ed estratti, le opposizioni sollevate e le eventuali richieste di chiarimento e/o di approfondimento. 

Solo una volta verificata la correttezza e la chiarezza del verbale si consiglia di procedere alla sottoscrizione dello stesso. 

Ad ogni buon conto, si consiglia anche la redazione di un report ad uso interno per tenere traccia delle attività svolte e del loro sviluppo. 

Fase 6: e poi? L’attività dopo l’ispezione 

Una volta conclusasi l’attività di controllo, si consiglia all’azienda di vagliare la presenza o meno di irregolarità del procedimento ispettivo, valutando l’opportunità di procedere ad eventuali impugnazioni. 

Infine, si consiglia il costante monitoraggio delle richieste di informazioni da parte dell’Autorità di controllo al fine di fornire tempestivo riscontro. 

Lo scopo del tool 

Sottoponendo questo tool, composto da 10 domande a risposta multipla, al Team Privacy (o ad un suo delegato), sarà possibile verificare l’adeguatezza delle procedure di gestione di un’ispezione del Garante Privacy. 

Cybertool_Gestione di un’ispezione del Garante Privacy: come la gestirebbe la tua azienda?

"*" indica i campi obbligatori

La tua azienda ha una procedura su come affrontare un'ispezione da parte del Garante?*
E' presente un Team Privacy dedicato?*
L'organigramma aziendale...*
Sono state date indicazioni a tutti i dipendenti su quali comportamenti adottare?*
I locali dedicati alle ispezioni...*
La documentazione privacy è disponibile nella sua completezza e totalità?*
E' stato individuato il soggetto che sarà titolare delle funzioni di coordinamento durante l'ispezione?*
Al momento della sottoscrizione del verbale....*
Chi gestisce gli accessi documentali da parte degli ispettori?*
La documentazione privacy è adeguatamente aggiornata?*
Nome*

 

Veronica Zanibellato

Veronica Zanibellato

Nata a Padova, laureata presso l’Università degli Studi di Padova, è stata abilitata alla professione forense nel 2020. Legal specialist presso società bancarie e immobiliari, occupandosi della redazione e della revisione dei contratti ha contribuito alla redazione di modelli contrattuali semplificati, volti a garantirne la trasparenza e l’equilibrio tra le parti coinvolte secondo l’applicazione del legal design. Si occupa di diritto civile, diritto societario, diritto immobiliare e contrattualistica. Pratica tennis e nuoto, nel tempo libero ama fare escursioni o leggere un buon libro.