Iniziamo col dire che le ispezioni possono essere “annunciate” dal Garante o dalla Guardia di Finanza tramite una comunicazione il giorno prima dell’arrivo, oppure possono avvenire a sorpresa.

Chi si presenta?

Ispettori del Garante, ma più probabilmente il Nucleo speciale di tutela privacy e frodi tecnologiche della Guardia di Finanza che, a sua volta potrà contare anche sulle specifiche competenze informatiche del Nucleo frodi tecnologiche

Consiglio: gli ispettori si presentano direttamente alla reception. Sarà necessario:

• annotare i nomi di tutti gli ispettori e si faccia vedere l’informativa privacy (non si deve far firmare perché stiamo rispondendo ad un obbligo di legge);
• fornire un badge di accesso (ove presente) e si registri nell’apposito registro visitatori (se presente);
• avvertire il DPO  (se presente) e il titolare del trattamento;
• predisporre una stanza che possa essere chiusa(l’ispezione può durare anche più di un giorno).

Che tipo di richieste saranno fatte durante l’ispezione?

Una “richiesta di informazioni” con cui il Garante domanda come siano stati assolti determinati obblighi legislativi o regolamentari in materia di protezione dei dati personali. Più precisamente sarò richiesto:

• di prendere visione del registro dei trattamenti;
• di consultare la documentazione privacy;
• documentazione privacy.

Il Titolare del trattamento e/o  il Responsabile nominato dovrà fornire le lettere di nomina ad incaricati al trattamento, i mansionari e le lettere per tutti i responsabili esterni. Avere a disposizione anche  un organigramma ed un funzionigramma formali può essere molto utile.

Verrà verificato anche  il flusso dei dati: come i dati sono raccolti, per quali finalità, dove sono trattati e conservati, dove transitano, chi vi può accedere. In caso di attività di marketing e profilazione, per esempio, viene verificata l’acquisizione del consenso da parte degli interessati e se il consenso è ancora valido o è stato revocato o è decaduto.

Inoltre sono consigliati:

• Procedura di data breach:
  tra i consigli forniti dalle Autorità Garante per la protezione dei dati personali si individua anche la necessità di disporre di una chiara procedura di data breach, per scongiurare perdite di dati per furto o distruzione. A questo proposito un buon piano di disaster recovery con tempi certi di ripristino aumenta notevolmente sia l’accountability che la Reputability aziendale.
• Formazione privacy:
  in ultimo, l’Autorità richiede di prestare particolare attenzione alla formazione degli incaricati. Ai sensi dell'art. 32, par. 4 GDPR, chiunque agisce sotto l'autorità del titolare o del responsabile del trattamento e abbia accesso ai dati personali, non può trattare tali dati se non è istruito in tal senso dal titolare o dal responsabile stesso. Di fatto la formazione di tutte le pedine in gioco nello scacchiere dei trattamenti diventa indispensabile per evitare che gli interessati esercitino l’articolo 82 ovvero il diritto al risarcimento del danno per trattamenti non consentiti. In questo senso l'azienda dovrà dimostrare di aver un efficace programma formativo, garantendone l’aggiornamento periodico.
  
  

Quali sono le tipologie di ispezione del Garante?

• Il 50% degli accertamenti riguarda i reclami presentati dai cittadini per denunciare presunte violazioni del diritto alla privacy;
• il 25 % degli accertamenti  riguarda invece le verifiche disposte dal Garante nel caso in cui si sospettino delle irregolarità;
• l’altro 25% degli interventi del Garante è, infine destinato all’esecuzione di accertamenti per verificare lo stato di attuazione della legge da parte di amministrazioni ed enti pubblici o soggetti privati.
  
  

Cosa rispondere agli ispettori?

Assume un ruolo importante anche il modo in cui vengono rilasciate le dichiarazioni agli ispettori. Tralasciare dettagli importanti o, peggio, fornire dichiarazioni false è molto grave (ed è passibile di sanzioni penali). Inoltre, il grado di collaborazione con l'Autorità è fattore tenuto in considerazione al momento di valutare l'ammontare di eventuali sanzioni. Pertanto consigliamo di:

• dimostrarsi disponibili;
• non ostacolare i controlli;
• rilasciare solo copie di tutti i documenti, conservando gli originali;
• fornire sempre informazioni veritiere;
• farsi rilasciare sempre una copia del verbale dell’ispezione.
  
  

Cosa possono fare gli ispettori?

Gli ispettori possono:

• accedere agli uffici dell’azienda in orario lavorativo;
• richiedere documenti  oggetto dell’ispezione;
• apporre sigilli su documenti  database e stanze fino alla fine dell’ispezione;
• svolgere interrogatori.

Gli ispettori non possono:

Gli ispettori non possono:

• richiedere o cercare documentazione che non sia oggetto dell’ispezione;
• acquisire documentazione in originale;
• fare interviste o interrogatori non pertinenti rispetto all’oggetto dell’ispezione. 

Chi è coinvolto nelle ispezioni del Garante?

A rispondere alle domande del Garante durante le ispezioni sarà il datore di lavoro, il DPO se designato e altre figure se specificamente designate dal datore di lavoro che parleranno in sua vece. Dovranno spiegare i modi concreti di applicazione del regolamento (ad es. quali sistemi informatici di sicurezza vengono usati per la protezione dei dati conservati) e come vengono rispettati i  principi fondamentali del GDPR. Le ispezioni del Garante Privacy possono durare anche più giorni.

Ostacolare lo svolgimento delle ispezioni può condurre a severe sanzioni

Se il datore di lavoro ostacola lo svolgimento dell’ispezione è soggetto a sanzioni anche molto severe:

• fino a 20.000 euro (o al 4% del fatturato annuale dell’impresa) per la mancata consegna dei materiali richiesti o per il negato accesso alle informazioni o ai locali dell’impresa;
• massimo un anno di reclusione per chi volontariamente interrompe o impedisce il corretto svolgimento dell’ispezione;
• fino a tre anni di reclusione per chi fornisce informazioni o documenti falsi.