Quando, come, chi e in quale occasione si svolgono
Come ben sappiamo, l’Autorità Garante della Protezione dei dati personali ha il potere di avviare delle istruttorie nei confronti di qualsiasi ente o azienda, sia essa pubblica che privata. Alle istruttorie non seguono necessariamente le ispezioni (visita in loco presso l’azienda), ma, anzi, molte delle attività di controllo avvengono a distanza (da remoto), soprattutto in questo periodo di emergenza sanitaria.
La prima forma di controllo è quindi costituita dall’analisi della rete internet ed in particolare del sito web di proprietà dell’azienda; lo stesso, pertanto, dovrà essere in regola con le varie informative ed essere conforme alle regole legate al mondo del web (direttiva e-privacy, e-commerce, la tutela dei minori ecc.).
Oltre ai controlli da remoto, il Garante potrà effettuare delle vere e proprie ispezioni con proprio personale o delegando le forze dell’ordine, che effettueranno dei sopralluoghi presso l’azienda da sottoporre al vaglio.
Quando – Nel sito garanteprivacy.it viene pubblicato ogni 6 mesi un programma delle attività ispettive, con indicazione dei principi e delle procedure che guideranno l´esercizio dei poteri ispettivi del Garante nel semestre di riferimento e, di conseguenza, quali enti pubblici o privati potranno essere potenzialmente sottoposti a controllo. In realtà, però, tale programma non è vincolante, poiché il Garante avrà la facoltà di esercitare i suoi poteri ispettivi anche a seguito di reclami o segnalazioni da parte di terzi, o a seguito di una sua decisione meramente discrezionale, oppure quando, a seguito di una qualsiasi istruttoria effettuata da remoto, sorgano delle criticità che il Garante intende approfondire.
Chi- Nei casi più critici, o dove sono richieste conoscenze e competenze specifiche, l’ispezione viene condotta direttamente dal personale alle dipendenze del Garante; nelle altre ipotesi il Garante delega il nucleo speciale privacy della Guardia di Finanza.
Come- Il Garante o la GdF possono preavvisare l’azienda interessata (tramite comunicazione formale) del giorno in cui si terrà l’ispezione, ma non di rado accade che gli accertamenti avvengano anche senza preavviso.
Di solito, al momento dell’accesso viene portato a conoscenza dell’azienda un documento che è la “richiesta di informazioni”. In esso il Garante indica quale tipo di attività ispettiva verrà effettuata per verificare il rispetto di determinati obblighi in materia di privacy.
Le attività ispettive vengono poi verbalizzate; è possibile verbalizzare anche eventuali dichiarazioni che si vuole che rimangano per iscritto. E’ per questo che è buona norma verificare la correttezza di quanto indicato nel verbale.
E’ possibile che gli ispettori richiedano copia di alcuni documenti (siano essi cartacei che informatici) da allegare al verbale. Inoltre, potrebbe essere utile chiedere una copia del verbale stesso o comunque appuntarsi tutti i documenti che sono stati visionati e quelli di cui hanno anche acquisito copia.
Cosa – L’oggetto dell’ispezione può essere il più variegato, poiché i poteri istruttori del Garante sono molto ampi. Nel corso dell’ispezione potrà essere chiesta la verifica di documenti anche in formato elettronico; gli ispettori potranno richiedere informazioni o spiegazioni; potranno inoltre accedere alle banche dati, agli archivi o al sistema informatico, alle mail, rete aziendale, contratti, sistemi di sicurezza fisici ed informatici, verifica delle postazioni di lavoro, verifica delle passwords ecc..
Ovvio che occorrerà limitare il potere ispettivo laddove si venisse a violare il segreto professionale o altri obblighi di riservatezza; in tale ultima ipotesi è necessario che gli ispettori acquisiscano copia della documentazione anonimizzata, ovvero che dal documento vengano cancellate quelle parti non necessarie ai fini ispettivi e che devono comunque rimanere confidenziali. E’ opportuno, inoltre, non rilasciare documenti originali, ma solo le loro copie.
I documenti più richiesti sono: le varie informative, registro dei trattamenti, organigramma dell’azienda, nomina DPO (laddove necessario), elenco dei responsabili del trattamento, formazione del personale, valutazione d’impatto, misure di sicurezza, dpia, misure previste in caso di data breach.
Accertamento di violazioni – Qualora vengano rilevate delle violazioni, gli ispettori redigeranno un verbale di contestazione; in tale ultimo caso, l’azienda può depositare presso il Garante una memoria difensiva con eventuali documenti. Successivamente, il Garante potrà decidere di emanare un’ordinanza-ingiunzione, qualora ritenga sussistere la violazione nonostante le memorie di parte.
Sanzioni- Nei casi meno gravi le sanzioni amministrative pecuniarie possono arrivare fino a 10 milioni di euro oppure, per le imprese, al 2% del fatturato mondiale annuo dell’esercizio precedente, se superiore; nei casi più gravi fino a 20 milioni di euro o per le imprese al 4% del fatturato mondiale annuo dell’esercizio precedente se superiore.
Le sanzioni penali, invece, possono andare da 1 a 6 anni di reclusione.
Le sanzioni correttive consistono in ammonimenti o avvertimenti.
La reticenza nel fornire la documentazione richiesta o l’eventuale ostacolo all’acquisizione della stessa, le false dichiarazioni o l’omissione possono essere considerati fattori aggravanti della eventuale sanzione.
