L’ispezione da parte del Garante della protezione dei dati personali può destare molta preoccupazione dal momento che dall’attività di accertamento può scaturire l’applicazione di sanzioni amministrative e, nei casi più gravi, anche il blocco dei dati e la sospensione immediata di una o più operazioni del trattamento con denuncia alla magistratura nel caso in cui emergano fatti di rilevanza penale. Ecco qualche breve suggerimento sui passi che possiamo compiere per aiutarci nella gestione di una visita così delicata.
Ispezione del Garante: conoscere i poteri
Al pari di qualsiasi prova da affrontare, può fare la differenza in termini positivi conoscere il nostro interlocutore e prevedere le sue richieste. Anche nel caso di ispezione da parte del Garante, il primo passo che si può compiere è rappresentato dallo studio dei poteri riservati all’Autorità e delle modalità con cui le indagini possono essere condotte.
Il punto di partenza in questo senso è rappresentato dall’articolo 58 paragrafo 1 del Regolamento UE 2016/679 (GDPR), il quale enuncia i poteri di natura ispettiva riservati all’Autorità di controllo. In particolare alla lettera a) è prevista la possibilità di ingiungere al titolare del trattamento o al responsabile del trattamento di fornire tutte le informazioni necessarie all’esecuzione dei propri compiti; alla lettera e) di ottenere l’accesso a tutti i dati personali e a tutte le informazioni necessarie per l’esecuzione dei propri compiti e alla lettera f) di ottenere l’accesso a tutti i locali del titolare del trattamento e del responsabile del trattamento, compresi tutti gli strumenti e mezzi di trattamento dei dati.
La previsione del GDPR trova simmetricamente riscontro all’articolo 157 del nostro Codice in materia di protezione dei dati personali (D. lgs. 196/2003 così come modificato dal d. lgs. 101/2018) che conferma la facoltà e l’esigenza per il Garante di ottenere informazioni e di accedere ai documenti anche con riferimento al contenuto di banche dati e all’articolo 158 paragrafo 1 in cui si dispone che il Garante può accedere a banche di dati, archivi o altre ispezioni e verifiche nei luoghi ove si svolge il trattamento o nei quali occorre effettuare rilevazioni comunque utili al controllo del rispetto della disciplina in materia di trattamento dei dati personali.
Rispetto agli interlocutori con cui si potrà avere un confronto in sede di ispezione, l’articolo 158 del Codice Privacy anticipa che, per l’esecuzione dell’attività di controllo, il personale dell’Ufficio del Garante (con l’eventuale partecipazione del personale dell’Autorità di controllo di altri Stati membri) possa avvalersi della collaborazione di altri organi dello Stato.
Il Garante per la protezione dei dati personali al fine di rendere note le procedure interne finalizzate allo svolgimento dei propri compiti istituzionali aventi rilevanza esterna ha adottato, con Delibera del 4 aprile 2019, il Regolamento n. 1/2019 dove all’articolo 22 precisa che, per assicurare tempestività e completezza, l’attività ispettiva può essere curata dal dipartimento, servizio o altra unità organizzativa competente ovvero delegata alla Guardia di Finanza che a sua volta può avvalersi della collaborazione di altri organi dello Stato.
Il coinvolgimento della Guardia di finanza
Si può ricordare a tal proposito il protocollo di intesa stipulato tra l’Autorità e la Guardia di finanza il 10 marzo 2016 in cui si concordano nel dettaglio le modalità di collaborazione reciproca al fine di accertare le violazioni alla normativa in materia di trattamento dei dati personali. Il Garante in particolare invia le proprie richieste e le proprie istruzioni al Nucleo Speciale Privacy che, a sua volta, potrà contare anche sulle specifiche competenze informatiche del Nucleo frodi tecnologiche per operare i necessari controlli. Al termine dell’istruttoria, la Guardia di Finanza restituirà al Garante l’esito degli accertamenti producendo la rispettiva documentazione acquisita la quale sarà poi utile per la successiva trattazione.
In cosa consiste l’attività ispettiva (ispezione del Garante)
Passando all’attivazione dell’attività ispettiva, il 10 maggio 2020 il Garante, tenendo conto della necessità di indirizzare i controlli verso i settori di applicazione della legge in relazione ai quali ha ricevuto il maggior numero di segnalazioni ricevute, ha stabilito che:
- La prima metà degli interventi di accertamento riguarda i reclami presentati dai cittadini o dalle associazioni che li rappresentano per denunciare presunte violazioni del diritto alla riservatezza.
- La seconda metà degli interventi, invece, si attiva d’ufficio, anche in assenza dei succitati input, ed è divisa così:
- un quarto dell’attività ispettiva, da ripartire equamente tra soggetti privati ed organismi pubblici, riguarda invece le verifiche disposte dal Garante nel caso in cui si sospettino delle irregolarità ed è necessario avviare un’istruttoria preliminare per verificare l’effettiva sussistenza di idonei elementi in ordine alle presunte violazioni della disciplina in materia di protezione dei dati personali. Questi controlli vengono eseguiti su autorizzazione del presidente del tribunale competente o con il preventivo assenso del titolare o del responsabile del trattamento informato dell’attività ispettiva e scattano quando l’Autorità non ritiene opportuno procedere alla richiesta di informazioni o all’invio di documenti oppure nel caso in cii quelli già ricevuti siano risultati incompleti o non veritieri. Gli accertamenti, ai quali i soggetti interessati sono tenuti a collaborare, non possono essere iniziati prima delle ore sette e dopo le ore venti e possono essere eseguiti anche con preavviso quando non sussista il rischio di una dispersione o di un’alterazione degli elementi di prova.
- l’ultimo quarto degli interventi del Garante è, infine destinato all’esecuzione di accertamenti per verificare lo stato di attuazione della legge da parte di amministrazioni ed enti pubblici o soggetti privati. Questi ultimi controlli sono effettuati, di regola, con preavviso o richiedendo il preventivo assenso scritto informato dei titolari o dei responsabili dei trattamenti.
Conoscere la programmazione dei procedimenti ispettivi
Dal momento che metà dell’attività ispettiva è esercitata su iniziativa del Garante e che, per esigenze di definizione degli obiettivi e dei criteri e di pubblicità delle scelte operate, essa è improntata sul metodo della programmazione, può risultare particolarmente utile rimanere aggiornati sulle delibere adottate periodicamente dal Garante relative all’indirizzo delle indagini.
Il Garante, in particolare, provvede alla definizione del documento programmatico, contestualmente all’approvazione del bilancio preventivo, con cadenza almeno semestrale ai sensi dell’articolo 4, comma 1, lettera c) del Regolamento n. 1/2019.
A titolo esemplificativo, l’ultima deliberazione è stata adottata il 10 dicembre 2020 in cui, limitatamente al periodo di gennaio-giugno 2021, il Garante ha individuato all’interno del proprio piano ispettivo specifici temi di indagine e stabilito come prioritario l’accertamento nell’ambito di:
- trattamenti di dati biometrici per il riconoscimento facciale anche mediante sistemi di videosorveglianza;
- trattamenti di dati personali nel settore della cosiddetta videosorveglianza domestica e nel settore dei sistemi audio/video applicati ai giochi;
- trattamenti di dati personali effettuati da data broker;
- trattamenti di dati personali effettuati da società rientranti nel settore del Food Delivery;
- data breach.
Il Garante ha inoltre preannunciato ulteriori controlli nei confronti di altri titolari o responsabili del trattamento in relazione all’osservanza dei principi e dei requisiti richiesti dalle normative applicabili in materia di protezione dei dati, con specifica attenzione ai profili sostanziali del trattamento che spiegano significativi effetti sugli interessati.
Grazie a tali deliberazioni, dunque, si possono conoscere in anticipo i temi di indagine sui quali si concentrerà il Garante e, di conseguenza, i titolari del trattamento e i responsabili del trattamento che appartengono a tali categorie di interesse potranno ritenere probabile la visita del Garante e cercare e di mettere a punto o di migliorare alcuni degli aspetti che riguardano almeno le attività di trattamento coinvolte in termini di maggiore trasparenza e sicurezza degli interessati.
Potrebbe anche rivelarsi utile l’organizzazione di simulazioni all’interno dell’organizzazione al fine di presentarsi pronti e preparati in fase di controllo. Un aspetto da non sottovalutare, infatti, è certamente la capacità organizzativa e gestionale che sarà dimostrata dal titolare o dal responsabile del trattamento ai soggetti deputati all’accertamento.
Merita, tra l’altro, particolare attenzione anche il fatto che i piani ispettivi del Garante contemplino ricorrentemente (non solo nel succitato I semestre del 2021 ma anche nel I e nel II semestre del 2020) l’esecuzione di accertamenti in caso di data breach. Di fatto, una violazione dei dati personali, può implicare quanto meno una verifica da parte del Garante rispetto all’adeguatezza delle misure di sicurezza tecniche e organizzative applicate ai dati oggetto di violazione, alla presenza di una procedura per la gestione degli incidenti sulla sicurezza e del registro delle violazioni.
Ispezione: prevedere le richieste di informazioni
Ai sensi dell’articolo 58 paragrafo 1, lettera a) e b) del GDPR e dell’articolo 157 e 158 del Codice di protezione dei dati personali al titolare o al responsabile del trattamento sono richieste una serie di informazioni che tipicamente riguardano l’applicazione dei principi di accountability e di privacy by design e by default.
La notifica, infatti, oltre a contenere domande specifiche sulla violazione che si intende indagare ed accertare, può, per esempio, contenere richieste relative:
- alla struttura dell’organizzazione;
- alla distribuzione delle funzioni in materia di protezione dei dati personali;
- alla modalità con cui viene fornita agli interessati l’Informativa di cui agli articoli 13 e 14 del GDPR, insieme alla copia della relativa documentazione;
- alle modalità di acquisizione dei consensi con relativa documentazione;
- all’istituzione del registro dei trattamenti ai sensi dell’articolo 30 del GDPR con messa a disposizione dello stesso;
- all’eventuale designazione di Responsabili esterni e Sub-responsabili del trattamento con acquisizione del relativo contratto e designazione ai sensi dell’articolo 28 del GDPR;
- all’eventuale nomina del Data Protection Officer;
- ai soggetti autorizzati ad accedere ai dati personali oggetto del trattamento e acquisizione di copia della relativa documentazione inerente la loro nomina, la formazione e le istruzioni impartite;
- al periodo di data retention ovvero ai criteri utilizzati per determinare il periodo di conservazione dei dati personali per ciascuna attività di trattamento effettuata;
- all’eventuale valutazione d’impatto effettuata in relazione ai trattamenti dei dati;
- all’eventuale comunicazione e/o diffusione dei dati a terzi e rispettivi presupposti e modalità ed all’eventuale trasferimento dei dati personali fuori dallo Spazio Economico Europeo;
- alle procedure predisposte per l’esercizio dei diritti degli interessati;
- all’adozione di misure tecniche ed organizzative che garantiscano un livello di sicurezza adeguato al rischio insito a ciascun trattamento e relative procedure per testarne e verificarne regolarmente l’efficacia.
Tutti questi aspetti, a maggior ragione nell’ipotesi di ispezione in loco, saranno valutati nella loro concretezza e riscontrati quindi nella realtà.
Se, per esempio, la procedura relativa all’esercizio dei diritti degli interessati dovesse contenere indicazioni precise in ordine alla facilità della revocabilità del consenso prestato dall’Interessato, ma così nella realtà non fosse perché, per esempio, per la revoca del consenso è stato predisposto un inter più complesso rispetto a quello utilizzato per poter esprimere il consenso, allora l’esito della valutazione non sarebbe positivo.
Dimostrare la capacità di assicurare la protezione dei dati personali degli interessati
Allo stesso modo, l’adeguatezza delle misure di sicurezza implementate sarà considerata guardando in concreto, per esempio, alla solidità delle credenziali di accesso ai sistemi o alle banche dati e all’utilizzo di strumenti di strong authentication. Se in fase di controllo, il personale del soggetto sottoposto a ispezione, dovesse usare un’unica password valida per tutti, per altro molto semplice, per accedere ad una banca dati, questa condotta costituirebbe un chiaro segnale di mancato reale recepimento delle norme in materia di protezione dei dati personali e una protezione degli Interessati del tutto non effettiva.
Ogni passaggio dell’attività di ispezione dovrebbe dimostrare al dipartimento del Garante o all’organo delegato l’effettiva capacità del titolare o del responsabile del trattamento di assicurare la protezione, la riservatezza, l’integrità, la disponibilità dei dati personali degli interessati e la resilienza dei sistemi e dei servizi di trattamento.
E questo obiettivo è raggiungibile solo se, per cominciare, si affronta un percorso di profonda consapevolezza all’interno dell’organizzazione dell’intero flusso dei dati.
Ispezione: farsi assistere da persone competenti
Un ultimo elemento che potrebbe condurre ad un esito favorevole per il titolare o il responsabile del trattamento è costituito dalla scelta delle persone da cui farsi assistere durante una ispezione. Certamente, l’eventuale presenza di una Data Protection Officer potrebbe giocare un ruolo fondamentale durante la visita del Garante, ma è altrettanto importante che anche gli altri interlocutori di fiducia siano preparati e competenti. Per esempio, la figura dell’Amministratore di sistema, normalmente, riveste un ruolo particolarmente importante all’interno di un’azienda in quanto opera attivamente sul processo di trattamento e custodia dei dati gestendo e manutenendo tutti gli impianti di elaborazione, i sistemi di gestione delle basi di dati, le reti locali e gli apparati di sicurezza.
Assumere un atteggiamento disponibile e proattivo
Infine, potrebbe incidere positivamente nel corso dell’accertamento da parte del Garante anche l’atteggiamento collaborativo del titolare o del responsabile del trattamento sottoposto a ispezione. In diverse pronunce, il Garante si è espresso con favore dinanzi a un titolare o a un responsabile proattivo e impegnato concretamente nel migliorare l’attuazione della legge e la protezione degli interessati, considerando peraltro fondamentale questo aspetto anche ai fini della determinazione di una eventuale sanzione.
Immagine fornita da Shutterstock