Compliance

Visite ispettive del Garante Privacy: come prepararsi

In caso di ispezione può fare la differenza in termini positivi conoscere il nostro interlocutore e prevedere le sue richieste. Il primo passo che si può compiere è rappresentato dallo studio dei poteri riservati all’Autorità e delle modalità con cui le indagini possono essere condotte.

Pubblicato il 21 Giu 2021

Simona Loprete

esperta in privacy

gdpr limitazioni

L’ispezione da parte del Garante della protezione dei dati personali può destare molta preoccupazione dal momento che dall’attività di accertamento può scaturire l’applicazione di sanzioni amministrative e, nei casi più gravi, anche il blocco dei dati e la sospensione immediata di una o più operazioni del trattamento con denuncia alla magistratura nel caso in cui emergano fatti di rilevanza penale. Ecco qualche breve suggerimento sui passi che possiamo compiere per aiutarci nella gestione di una visita così delicata.

Ispezione del Garante: conoscere i poteri

Al pari di qualsiasi prova da affrontare, può fare la differenza in termini positivi conoscere il nostro interlocutore e prevedere le sue richieste. Anche nel caso di ispezione da parte del Garante, il primo passo che si può compiere è rappresentato dallo studio dei poteri riservati all’Autorità e delle modalità con cui le indagini possono essere condotte.

Il punto di partenza in questo senso è rappresentato dall’articolo 58 paragrafo 1 del Regolamento UE 2016/679 (GDPR), il quale enuncia i poteri di natura ispettiva riservati all’Autorità di controllo. In particolare alla lettera a) è prevista la possibilità di ingiungere al titolare del trattamento o al responsabile del trattamento di fornire tutte le informazioni necessarie all’esecuzione dei propri compiti; alla lettera e) di ottenere l’accesso a tutti i dati personali e a tutte le informazioni necessarie per l’esecuzione dei propri compiti e alla lettera f) di ottenere l’accesso a tutti i locali del titolare del trattamento e del responsabile del trattamento, compresi tutti gli strumenti e mezzi di trattamento dei dati.

La previsione del GDPR trova simmetricamente riscontro all’articolo 157 del nostro Codice in materia di protezione dei dati personali (D. lgs. 196/2003 così come modificato dal d. lgs. 101/2018) che conferma la facoltà e l’esigenza per il Garante di ottenere informazioni e di accedere ai documenti anche con riferimento al contenuto di banche dati e all’articolo 158 paragrafo 1 in cui si dispone che il Garante può accedere a banche di dati, archivi o altre ispezioni e verifiche nei luoghi ove si svolge il trattamento o nei quali occorre effettuare rilevazioni comunque utili al controllo del rispetto della disciplina in materia di trattamento dei dati personali.

Rispetto agli interlocutori con cui si potrà avere un confronto in sede di ispezione, l’articolo 158 del Codice Privacy anticipa che, per l’esecuzione dell’attività di controllo, il personale dell’Ufficio del Garante (con l’eventuale partecipazione del personale dell’Autorità di controllo di altri Stati membri) possa avvalersi della collaborazione di altri organi dello Stato.

Il Garante per la protezione dei dati personali al fine di rendere note le procedure interne finalizzate allo svolgimento dei propri compiti istituzionali aventi rilevanza esterna ha adottato, con Delibera del 4 aprile 2019, il Regolamento n. 1/2019 dove all’articolo 22 precisa che, per assicurare tempestività e completezza, l’attività ispettiva può essere curata dal dipartimento, servizio o altra unità organizzativa competente ovvero delegata alla Guardia di Finanza che a sua volta può avvalersi della collaborazione di altri organi dello Stato.

Il coinvolgimento della Guardia di finanza

Si può ricordare a tal proposito il protocollo di intesa stipulato tra l’Autorità e la Guardia di finanza il 10 marzo 2016 in cui si concordano nel dettaglio le modalità di collaborazione reciproca al fine di accertare le violazioni alla normativa in materia di trattamento dei dati personali. Il Garante in particolare invia le proprie richieste e le proprie istruzioni al Nucleo Speciale Privacy che, a sua volta, potrà contare anche sulle specifiche competenze informatiche del Nucleo frodi tecnologiche per operare i necessari controlli. Al termine dell’istruttoria, la Guardia di Finanza restituirà al Garante l’esito degli accertamenti producendo la rispettiva documentazione acquisita la quale sarà poi utile per la successiva trattazione.

ispezione

In cosa consiste l’attività ispettiva (ispezione del Garante)

Passando all’attivazione dell’attività ispettiva, il 10 maggio 2020 il Garante, tenendo conto della necessità di indirizzare i controlli verso i settori di applicazione della legge in relazione ai quali ha ricevuto il maggior numero di segnalazioni ricevute, ha stabilito che:

  • La prima metà degli interventi di accertamento riguarda i reclami presentati dai cittadini o dalle associazioni che li rappresentano per denunciare presunte violazioni del diritto alla riservatezza.
  • La seconda metà degli interventi, invece, si attiva d’ufficio, anche in assenza dei succitati input, ed è divisa così:
  1. un quarto dell’attività ispettiva, da ripartire equamente tra soggetti privati ed organismi pubblici, riguarda invece le verifiche disposte dal Garante nel caso in cui si sospettino delle irregolarità ed è necessario avviare un’istruttoria preliminare per verificare l’effettiva sussistenza di idonei elementi in ordine alle presunte violazioni della disciplina in materia di protezione dei dati personali. Questi controlli vengono eseguiti su autorizzazione del presidente del tribunale competente o con il preventivo assenso del titolare o del responsabile del trattamento informato dell’attività ispettiva e scattano quando l’Autorità non ritiene opportuno procedere alla richiesta di informazioni o all’invio di documenti oppure nel caso in cii quelli già ricevuti siano risultati incompleti o non veritieri. Gli accertamenti, ai quali i soggetti interessati sono tenuti a collaborare, non possono essere iniziati prima delle ore sette e dopo le ore venti e possono essere eseguiti anche con preavviso quando non sussista il rischio di una dispersione o di un’alterazione degli elementi di prova.
  2. l’ultimo quarto degli interventi del Garante è, infine destinato all’esecuzione di accertamenti per verificare lo stato di attuazione della legge da parte di amministrazioni ed enti pubblici o soggetti privati. Questi ultimi controlli sono effettuati, di regola, con preavviso o richiedendo il preventivo assenso scritto informato dei titolari o dei responsabili dei trattamenti.

Conoscere la programmazione dei procedimenti ispettivi

Dal momento che metà dell’attività ispettiva è esercitata su iniziativa del Garante e che, per esigenze di definizione degli obiettivi e dei criteri e di pubblicità delle scelte operate, essa è improntata sul metodo della programmazione, può risultare particolarmente utile rimanere aggiornati sulle delibere adottate periodicamente dal Garante relative all’indirizzo delle indagini.

Il Garante, in particolare, provvede alla definizione del documento programmatico, contestualmente all’approvazione del bilancio preventivo, con cadenza almeno semestrale ai sensi dell’articolo 4, comma 1, lettera c) del Regolamento n. 1/2019.

A titolo esemplificativo, l’ultima deliberazione è stata adottata il 10 dicembre 2020 in cui, limitatamente al periodo di gennaio-giugno 2021, il Garante ha individuato all’interno del proprio piano ispettivo specifici temi di indagine e stabilito come prioritario l’accertamento nell’ambito di:

  • trattamenti di dati biometrici per il riconoscimento facciale anche mediante sistemi di videosorveglianza;
  • trattamenti di dati personali nel settore della cosiddetta videosorveglianza domestica e nel settore dei sistemi audio/video applicati ai giochi;
  • trattamenti di dati personali effettuati da data broker;
  • trattamenti di dati personali effettuati da società rientranti nel settore del Food Delivery;
  • data breach.

Il Garante ha inoltre preannunciato ulteriori controlli nei confronti di altri titolari o responsabili del trattamento in relazione all’osservanza dei principi e dei requisiti richiesti dalle normative applicabili in materia di protezione dei dati, con specifica attenzione ai profili sostanziali del trattamento che spiegano significativi effetti sugli interessati.

Grazie a tali deliberazioni, dunque, si possono conoscere in anticipo i temi di indagine sui quali si concentrerà il Garante e, di conseguenza, i titolari del trattamento e i responsabili del trattamento che appartengono a tali categorie di interesse potranno ritenere probabile la visita del Garante e cercare e di mettere a punto o di migliorare alcuni degli aspetti che riguardano almeno le attività di trattamento coinvolte in termini di maggiore trasparenza e sicurezza degli interessati.

Potrebbe anche rivelarsi utile l’organizzazione di simulazioni all’interno dell’organizzazione al fine di presentarsi pronti e preparati in fase di controllo. Un aspetto da non sottovalutare, infatti, è certamente la capacità organizzativa e gestionale che sarà dimostrata dal titolare o dal responsabile del trattamento ai soggetti deputati all’accertamento.

Merita, tra l’altro, particolare attenzione anche il fatto che i piani ispettivi del Garante contemplino ricorrentemente (non solo nel succitato I semestre del 2021 ma anche nel I e nel II semestre del 2020) l’esecuzione di accertamenti in caso di data breach. Di fatto, una violazione dei dati personali, può implicare quanto meno una verifica da parte del Garante rispetto all’adeguatezza delle misure di sicurezza tecniche e organizzative applicate ai dati oggetto di violazione, alla presenza di una procedura per la gestione degli incidenti sulla sicurezza e del registro delle violazioni.

Ispezione: prevedere le richieste di informazioni

Ai sensi dell’articolo 58 paragrafo 1, lettera a) e b) del GDPR e dell’articolo 157 e 158 del Codice di protezione dei dati personali al titolare o al responsabile del trattamento sono richieste una serie di informazioni che tipicamente riguardano l’applicazione dei principi di accountability e di privacy by design e by default.

La notifica, infatti, oltre a contenere domande specifiche sulla violazione che si intende indagare ed accertare, può, per esempio, contenere richieste relative:

  • alla struttura dell’organizzazione;
  • alla distribuzione delle funzioni in materia di protezione dei dati personali;
  • alla modalità con cui viene fornita agli interessati l’Informativa di cui agli articoli 13 e 14 del GDPR, insieme alla copia della relativa documentazione;
  • alle modalità di acquisizione dei consensi con relativa documentazione;
  • all’istituzione del registro dei trattamenti ai sensi dell’articolo 30 del GDPR con messa a disposizione dello stesso;
  • all’eventuale designazione di Responsabili esterni e Sub-responsabili del trattamento con acquisizione del relativo contratto e designazione ai sensi dell’articolo 28 del GDPR;
  • all’eventuale nomina del Data Protection Officer;
  • ai soggetti autorizzati ad accedere ai dati personali oggetto del trattamento e acquisizione di copia della relativa documentazione inerente la loro nomina, la formazione e le istruzioni impartite;
  • al periodo di data retention ovvero ai criteri utilizzati per determinare il periodo di conservazione dei dati personali per ciascuna attività di trattamento effettuata;
  • all’eventuale valutazione d’impatto effettuata in relazione ai trattamenti dei dati;
  • all’eventuale comunicazione e/o diffusione dei dati a terzi e rispettivi presupposti e modalità ed all’eventuale trasferimento dei dati personali fuori dallo Spazio Economico Europeo;
  • alle procedure predisposte per l’esercizio dei diritti degli interessati;
  • all’adozione di misure tecniche ed organizzative che garantiscano un livello di sicurezza adeguato al rischio insito a ciascun trattamento e relative procedure per testarne e verificarne regolarmente l’efficacia.

Tutti questi aspetti, a maggior ragione nell’ipotesi di ispezione in loco, saranno valutati nella loro concretezza e riscontrati quindi nella realtà.

Se, per esempio, la procedura relativa all’esercizio dei diritti degli interessati dovesse contenere indicazioni precise in ordine alla facilità della revocabilità del consenso prestato dall’Interessato, ma così nella realtà non fosse perché, per esempio, per la revoca del consenso è stato predisposto un inter più complesso rispetto a quello utilizzato per poter esprimere il consenso, allora l’esito della valutazione non sarebbe positivo.

Dimostrare la capacità di assicurare la protezione dei dati personali degli interessati

Allo stesso modo, l’adeguatezza delle misure di sicurezza implementate sarà considerata guardando in concreto, per esempio, alla solidità delle credenziali di accesso ai sistemi o alle banche dati e all’utilizzo di strumenti di strong authentication. Se in fase di controllo, il personale del soggetto sottoposto a ispezione, dovesse usare un’unica password valida per tutti, per altro molto semplice, per accedere ad una banca dati, questa condotta costituirebbe un chiaro segnale di mancato reale recepimento delle norme in materia di protezione dei dati personali e una protezione degli Interessati del tutto non effettiva.

Ogni passaggio dell’attività di ispezione dovrebbe dimostrare al dipartimento del Garante o all’organo delegato l’effettiva capacità del titolare o del responsabile del trattamento di assicurare la protezione, la riservatezza, l’integrità, la disponibilità dei dati personali degli interessati e la resilienza dei sistemi e dei servizi di trattamento.

E questo obiettivo è raggiungibile solo se, per cominciare, si affronta un percorso di profonda consapevolezza all’interno dell’organizzazione dell’intero flusso dei dati.

Ispezione: farsi assistere da persone competenti 

Un ultimo elemento che potrebbe condurre ad un esito favorevole per il titolare o il responsabile del trattamento è costituito dalla scelta delle persone da cui farsi assistere durante una ispezione. Certamente, l’eventuale presenza di una Data Protection Officer potrebbe giocare un ruolo fondamentale durante la visita del Garante, ma è altrettanto importante che anche gli altri interlocutori di fiducia siano preparati e competenti. Per esempio, la figura dell’Amministratore di sistema, normalmente, riveste un ruolo particolarmente importante all’interno di un’azienda in quanto opera attivamente sul processo di trattamento e custodia dei dati gestendo e manutenendo tutti gli impianti di elaborazione, i sistemi di gestione delle basi di dati, le reti locali e gli apparati di sicurezza.

Assumere un atteggiamento disponibile e proattivo

Infine, potrebbe incidere positivamente nel corso dell’accertamento da parte del Garante anche l’atteggiamento collaborativo del titolare o del responsabile del trattamento sottoposto a ispezione. In diverse pronunce, il Garante si è espresso con favore dinanzi a un titolare o a un responsabile proattivo e impegnato concretamente nel migliorare l’attuazione della legge e la protezione degli interessati, considerando peraltro fondamentale questo aspetto anche ai fini della determinazione di una eventuale sanzione.

Immagine fornita da Shutterstock

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

L
Simona Loprete
esperta in privacy

Argomenti

Canali

EU Stories - La coesione innova l'Italia

Tutti
Video & Podcast
Analisi
Social
Iniziative
Podcast
Centro Servizi Territoriali: uno strumento per accompagnare gli enti nell’attuazione della politica di coesione. Il podcast “CapCoe. La coesione riparte dalle persone”
Podcast
EU Stories, il podcast | Politiche di coesione e comunicazione: una sinergia per il futuro
Opinioni
La comunicazione dei fondi europei da obbligo ad opportunità
eBook
L'analisi della S3 in Italia
Norme UE
European Accessibility Act: passi avanti verso un’Europa inclusiva
Agevolazioni
A febbraio l’apertura dello sportello Mini Contratti di Sviluppo
Quadri regolamentari
Nuovi Orientamenti sull’uso delle opzioni semplificate di costo
Coesione
Nuovo Bauhaus Europeo (NEB): i premi che celebrano innovazione e creatività
Dossier
Pubblicato il long form PO FESR 14-20 della Regione Sicilia
Iniziative
400 milioni per sostenere lo sviluppo delle tecnologie critiche nel Mezzogiorno
Formazione
“Gian Maria Volonté”: dalle aule al mondo del lavoro, focus sui tirocini della Scuola d’Arte Cinematografica
TRANSIZIONE ENERGETICA
Il ruolo del finanziamento BEI per lo sviluppo del fotovoltaico in Sicilia
Formazione
“Gian Maria Volonté”: dalla nascita ai progetti futuri, focus sulla Scuola d’Arte Cinematografica. Intervista al coordinatore Antonio Medici
MedTech
Dalla specializzazione intelligente di BionIT Labs una innovazione bionica per la disabilità
Finanza sostenibile
BEI e E-Distribuzione: investimenti per la sostenibilità energetica
Professioni
Servono competenze adeguate per gestire al meglio i fondi europei
Master
Come formare nuove professionalità per governare e gestire al meglio i fondi europei?
Programmazione UE
Assunzioni per le politiche di coesione: prossimi passi e aspettative dal concorso nazionale. Il podcast “CapCoe. La coesione riparte dalle persone”
innovazione sociale
Rigenerazione urbana: il quartiere diventa un hub dell’innovazione. La best practice di San Giovanni a Teduccio
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Podcast
Centro Servizi Territoriali: uno strumento per accompagnare gli enti nell’attuazione della politica di coesione. Il podcast “CapCoe. La coesione riparte dalle persone”
Podcast
EU Stories, il podcast | Politiche di coesione e comunicazione: una sinergia per il futuro
Opinioni
La comunicazione dei fondi europei da obbligo ad opportunità
eBook
L'analisi della S3 in Italia
Norme UE
European Accessibility Act: passi avanti verso un’Europa inclusiva
Agevolazioni
A febbraio l’apertura dello sportello Mini Contratti di Sviluppo
Quadri regolamentari
Nuovi Orientamenti sull’uso delle opzioni semplificate di costo
Coesione
Nuovo Bauhaus Europeo (NEB): i premi che celebrano innovazione e creatività
Dossier
Pubblicato il long form PO FESR 14-20 della Regione Sicilia
Iniziative
400 milioni per sostenere lo sviluppo delle tecnologie critiche nel Mezzogiorno
Formazione
“Gian Maria Volonté”: dalle aule al mondo del lavoro, focus sui tirocini della Scuola d’Arte Cinematografica
TRANSIZIONE ENERGETICA
Il ruolo del finanziamento BEI per lo sviluppo del fotovoltaico in Sicilia
Formazione
“Gian Maria Volonté”: dalla nascita ai progetti futuri, focus sulla Scuola d’Arte Cinematografica. Intervista al coordinatore Antonio Medici
MedTech
Dalla specializzazione intelligente di BionIT Labs una innovazione bionica per la disabilità
Finanza sostenibile
BEI e E-Distribuzione: investimenti per la sostenibilità energetica
Professioni
Servono competenze adeguate per gestire al meglio i fondi europei
Master
Come formare nuove professionalità per governare e gestire al meglio i fondi europei?
Programmazione UE
Assunzioni per le politiche di coesione: prossimi passi e aspettative dal concorso nazionale. Il podcast “CapCoe. La coesione riparte dalle persone”
innovazione sociale
Rigenerazione urbana: il quartiere diventa un hub dell’innovazione. La best practice di San Giovanni a Teduccio
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

  • DIGITAL FOR ESG

    IBM Cloud Carbon Calculator: intelligenza artificiale al servizio della sostenibilità ambientale

    19 Gen 2025

    di Redazione

    Condividi

  • ROADMAP ESG

    ESG, Engineering rendiconta il 2023: la tecnologia per un futuro green e inclusivo

    15 Lug 2024

    di Redazione

    Condividi

Prossimo

IBM Cloud Carbon Calculator: intelligenza artificiale al servizio della sostenibilità ambientale

Articolo 1 di 3