Lo scorso giugno il Garante Privacy, in occasione del Privacy Day tenutosi al CNR di Pisa, ha illustrato le modalità con le quali si svolgeranno le visite ispettive per il controllo della tutela dei dati nelle aziende.

Difatti, prima di allora era possibile immaginare il garante privacy che suona il campanello della nostra Azienda ed improvvisamente uno stato di agitazione pervade Titolare e collaboratori. Nell’arco di tempo necessario per raggiungere gli uffici dal cancello di entrata, gli incaricati cercano di recuperare l’ormai abbandonato faldone privacy e presi dal panico generale, tentano di individuare uno tra loro disposto ad accogliere l’Autorità. Nonostante i vani tentativi di mantenere la calma, gli ispettori percepiscono lo stato d’animo del personale e noncuranti procedono con le verifiche.

Per evitare queste spiacevoli situazioni, il garante ha voluto rassicurare quanti si adoperano per la privacy chiarendo alcune modalità di svolgimento e definendo l’oggetto delle ispezioni.

Si ricorda che le visite ispettive possono essere effettuate dalla Guardia di Finanza su delega del Garante privacy o direttamente dall’Autorità Garante.

Il controllo può avvenire per tre ragioni specifiche:

  • come conseguenza di un reclamo proposto dinanzi all’Autorità;
  • a seguito di un’attività di programmazione approvata dal Garante privacy. Ogni due semestri vengono individuate delle categorie, in riferimento alle pericolosità dei dati, sulle quali si intende effettuare dei controlli.
  • per verificare come viene concretizzato il rispetto del principio dell’Accountability, in specifici settori, non oggetto di indagini passate.

Nello specifico, il garante ha fatto riferimento ai seguenti aspetti.

IL REGISTRO DEI TRATTAMENTI

Un’importanza significativa viene ricondotta all’analisi del REGISTRO DELLE ATTIVITÀ DI TRATTAMENTO, adempimento contemplato dall’art. 30 dal Regolamento privacy 2016/679, ai sensi del quale:

“Ogni titolare del trattamento e, ove applicabile, il suo rappresentante tengono un registro delle attività di trattamento svolte sotto la propria responsabilità.”

Sebbene l’obbligo di stesura del registro si ponga soltanto in capo alle aziende con un numero maggiore di 250 dipendenti, o nel caso in cui siano trattati dati di natura particolare ex art. 9 del Regolamento privacy 2016/679, che come suggerisce il nome stesso, richiedono delle attenzioni peculiari, il Garante privacy consiglia ugualmente di predisporre il documento in esame, affinché sia palesata l’effettiva contezza del Titolare delle diverse tipologie di dati trattati, delle basi giuridiche di riferimento e in particolare delle misure di sicurezza implementate per garantire la protezione degli stessi.

Il documento prodotto consente di dare evidenza soprattutto dei presupposti di liceità dei trattamenti stessi, così da agevolarne l’attività di verifica. Per tali ragioni il Garante privacy, ritiene poco produttivo per l’Azienda dotarsi di registri di trattamento eccessivamente generici e standard, che non rispecchiano i reali flussi di dati aziendali.

IL DPO

In questa prima fase di indagine, che il Garante privacy definisce descrittiva, ruolo fondamentale è rivestito dal DPO, il quale, se presente, è in grado di ricostruire attentamente il flusso dei dati aziendali, le modalità di compilazione del documento stesso e fornire risposte puntuali ed esaurienti.

Essendo il contributo del DPO significativo, al punto da divenire a tutti gli effetti un punto di contatto tra Azienda e Garante privacy, l’Autorità suggerisce di contattarlo immediatamente, non appena la data d’ispezione viene comunicata.

Invero, le ispezioni non sempre vengono annunciate, in alcuni casi viene concesso un congruo preavviso, in altri, avviene a sorpresa.

IL DATA BREACH

Tra i consigli forniti dal Garante privacy si individua anche la necessità di disporre di una chiara procedura di gestione Data Breach, che identifichi in maniera puntuale i compiti dei soggetti preposti alla gestione della potenziale violazione dei dati. Questa è una delle mancanze principali che è stata riscontrata nelle visite ispettive effettuate.

DOCUMENTAZIONE PRIVACY

Dopo aver analizzato il registro è probabile che gli ispettori richiedano di visionare l’intera documentazione prodotta, dalle informative alle lettere di nomina. Ecco perché è opportuna una classificazione ordinata, facente capo ad una logica precisa, di tutti i documenti che sono stati consegnati e sottoscritti.

Una siffatta gestione documentale è indice di una chiara comprensione della norma stessa e quindi un valore aggiunto all’esito dell’ispezione.

FORMAZIONE PRIVACY

Per ultima, ma non per importanza, il Garante privacy richiede di prestare particolare attenzione alla formazione degli incaricati: è necessario predisporre un piano formativo adeguato a tutti i soggetti coinvolti nei vari trattamenti, con evidenza della reale preparazione degli stessi.

Tags:
Newer Come migliorare le attività di formazione per i lavoratori.
Back to list
Older Nuovi fondi per l’apprendistato nelle aziende in Puglia.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.