Ispezioni del Garante con il Gdpr, molte aziende ancora impreparate

MILANO - Il piano delle ispezioni per il semestre in corso è il primo ad essere stato varato dal Garante dopo la piena applicazione del GDPR, e vede sotto la lente dell'Autorità i trattamenti di dati effettuati da aziende e pubbliche amministrazioni che gestiscono banche dati di grandi dimensioni, le misure di protezione dei dati negli istituti di credito (specie con riferimento a segnalazioni di data breach), e i trattamenti di dati per attività di telemarketing.

Le ispezioni vengono svolte anche in collaborazione con il Nucleo speciale tutela privacy e frodi telematiche della Guardia di Finanza, e i controlli vertono sul rispetto degli obblighi di informativa, sull'acquisizione del consenso nei casi previsti, sul periodo di conservazione dei dati e sulle misure di sicurezza per la loro protezione, e tengono conto, in particolare, del rispetto degli obblighi in tema di tenuta del registro dei trattamenti, di valutazione d'impatto e di designazione del Data Protection Officer.

A proposito delle attività ispettive del Garante, Nicola Bernardi, presidente di Federprivacy, osserva:

"Molte aziende che dovevano conformarsi al GDPR, ma che considerano ancora la privacy e la protezione dei dati una questione meramente burocratica, si sono purtroppo affidati a software che promettono di risolvere il problema sfornando un mucchio di documenti, oppure hanno completamente demandato le attività di adeguamento a consulenti esterni, ma i manager d'impresa che finora hanno adottato questo approccio superficiale snobbando quello che è in realtà un importante tema di governance sono del tutto impreparati ad affrontare un'eventuale ispezione del Garante o del Nucleo Privacy della Guardia di Finanza, e rischiano di essere sanzionati pesantemente se non sono in grado di dimostrare in concreto di avere adottato tutte le misure tecniche ed organizzative necessarie per rispettare il Regolamento Europeo."

Come spiega la Circolare 4-2018 di Federprivacy, che si propone di fare un quadro sui poteri di accertamento dell'Autorità di controllo, sull'onere della prova delle violazioni, e sul principio di proporzionalità delle sanzioni amministrative con il Gdpr, al Garante per la protezione dei dati personali spetta il compito di individuare il precetto violato, la condotta del responsabile e tutti gli altri elementi della fattispecie illecita, ma occorre precisare che l’onere della prova della commessa violazione amministrativa delle disposizioni del GDPR grava sulla stessa autorità di controllo.

Pertanto, ai sensi del GDPR, il titolare del trattamento è competente a riguardo dell’osservanza dei principi del trattamento e dell’applicazione delle misure tecniche e organizzative, ed da ciò sicuramente discende un particolare onere probatorio ai fini dell’accertamento della responsabilità civile per danni nei casi di richieste di risarcimento, incombendo al titolare medesimo la prova a discarico (cosiddetta inversione dell’onere della prova).

A legislazione processuale vigente, tuttavia, non altrettanto può dirsi nel giudizio diretto all’accertamento della legittimità dell’atto irrogativo delle sanzioni comminate dall’Autorità di controllo, che possono arrivare fino a 20 milioni di euro o fino al 4% del fatturato annuo dell'impresa che si fa trovare ancora non adeguata, nonostante il Regolamento UE sia operativo ormai da oltre cinque mesi.

Articolo a cura di Nicola Bernardi, presidente di Federprivacy