Garante Privacy e G.d.F.: i controlli ispettivi

di Avv. Marco Soffientini, Esperto di Privacy e Diritto delle Nuove Tecnologie; docente Ethos Academy e Silvia Mencaroni collabora con lo Studio Legale Rosadi-Soffientini Associati e nel progetto “Videosorveglianza Urbana Integrata” di Ethos Academy 

Come sono cambiati i controlli ispettivi con l’avvento del GDPR? Fino al 25 maggio 2018 i controlli sulla privacy si fondavano su check list definite alle quali, in caso di violazioni, seguivano sanzioni dai 150 ai 300.000 euro. Ora i controlli sono finalizzati a verificare l’esistenza di un modello organizzativo personalizzato rispetto all’organizzazione ispezionata e le sanzioni amministrative pecuniarie possono arrivare fino a 20.000.000 di euro, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell’esercizio precedente. 

Non cambia, invece,  il rapporto con il Nucleo Speciale Privacy della Guardia di Finanza, posto alle dipendenze del Comando Unità Speciali, Reparto del Corpo della Guardia di Finanza che, in virtù e per effetto del Protocollo d’Intesa siglato in data 10 marzo 2016 tra il Comando Generale e l’Autorità Garante per la protezione dei dati personali, è istituzionalmente preposto a collaborare nello specifico comparto della tutela dei dati personali delle persone fisiche.

Cosa si deve “dimostrare”?

In fase di controllo l’Organizzazione (azienda, associazione, professionista, pubblica amministrazione, ecc.) dovrà dimostrare, con ragionamento logico e tramite evidenze, cosa è stato fatto e cosa non è stato fatto, dimostrando i motivi del mancato adempimento (mancata nomina DPO, mancata tenuta del Registro dei trattamenti, ecc.). In altri termini, in sede di controllo bisognerà rendere conto alla Guardia di Finanza delle misure messe in atto per il rispetto del GDPR.

Come nasce il controllo? 

Le “visite” ispettive della Guardia di Finanza potranno avvenire o sulla base dei programmi messi a punto dall’Autorità Garante, che di norma dispone di due programmi annuali, oppure potranno esser attuate dopo una segnalazione o un reclamo (elevato da lavoratori, utenti, clienti, sindacati, ispettorato del lavoro,  ecc).

Come prepararsi

Al fine di prepararsi in maniera adeguata e diligente ad un’ispezione è opportuno verificare, con l’ausilio del Data protection officer - ove presente - che i trattamenti posti in essere dall’Organizzazione osservino i principi del GDPR.

Ogni Titolare del trattamento è chiamato a sviluppare uno specifico sistema di gestione privacy in grado di rispettare il principio dell’accountability o di responsabilizzazione, che si estrinseca nell’obbligo di realizzare misure tecniche e organizzative adeguate, al fine di dimostrare che il trattamento viene effettuato conformemente alla disciplina vigente. Sarà cura dell’Organizzazione realizzare un sistema di gestione privacy secondo un modello organizzativo in grado di esprimere chiaramente la responsabilizzazione (accountability) del titolare nei confronti dei trattamenti da lui effettuati. 

Registro trattamenti e dichiarazioni 

Tra gli elementi principali di un modello organizzativo, un ruolo fondamentale lo riveste il registro delle attività di trattamento (documento contenente le principali informazioni individuate dall’art. 30 del R.G.P.D.). Si tratta di un documento che non solo consente di dimostrare le attività eseguite in caso di ispezione da parte del Garante, ma che permette anche di rappresentare un quadro aggiornato dei trattamenti effettuati nell’organizzazione.

E se il registro è falso? 

Nel Titolo III del novellato codice privacy riguardante la “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”, l’articolo 168  stabilisce (primo comma) che nel caso in cui il titolare, durante il corso di un accertamento dinanzi al Garante, dichiari o attesti falsamente notizie o produca atti o documenti falsi, è punito con la reclusione da sei mesi a tre anni. Ne segue che la produzione di un registro dei trattamenti falso espone il legale rappresentante a profili di responsabilità penale.

La versione integrale dell’articolo riporta tabelle, box o figure, per visualizzarle apri il pdf allegato.