E’ appena stato pubblicato da parte del Garante Privacy il piano di ispezioni programmate per il primo semestre 2022 , che saranno svolte dal Nucleo Speciale Tutela Privacy e Frodi Informatiche della Guardia di Finanza e che riguardano i seguenti settori:
a) gli accertamenti nei confronti di profili di interesse generale per categorie di interessati nell’ambito di:
- trattamenti di dati personali svolti da “fornitori di database”;
- trattamento di dati personali svolti da piattaforme e siti web in ordine alla corretta gestione dei cookies;
- trattamento di dati personali nel settore della c.d. “videosorveglianza”;
- trattamento di dati personali da parte di siti di incontri;
- trattamento di dati personali da parte di operatori dell’ambito della c.d. “data monetization”;
- trattamento di dati personali da parte di produttori e distributori di smart toys;
- trattamento di dati personali da parte di algoritmi e intelligenza artificiale in ambito pubblico e privato;
b) gli accertamenti nei confronti di soggetti pubblici e privati, al fine di verificare l’osservanza delle disposizioni in materia di protezione dei dati personali, con particolare riferimento
- alla corretta individuazione dei titolari e dei responsabili del trattamento, anche in relazione all’utilizzo di app. e altri applicativi informatici;
- all’acquisizione di informazioni e dati personali da parte di app istallate sugli smartphone
- alla verifica sul corretto trattamento dei dati da parte di app diverse da Verifica C19.
Cosa bisogna fare in caso di ispezione?
Innanzitutto , se nominato, è opportuno contattare il proprio DPO in modo che possa agevolare il dialogo e interfacciarsi con la Guardia di Finanza.
Ove questi non fosse stato nominato, è sempre possibile richiedere il supporto del proprio consulente privacy.
Durante l’ispezione verranno richieste alcune prove documentali a dimostrazione del principio di Accountability del Titolare del trattamento, che dovranno essere aggiornati e attuali.
Tra i documenti da produrre nel corso di un’ispezione troviamo:
- Il registro dei trattamenti ;
- il set documentale comprensivo di organigramma, profili di accesso, nomine ecc ;
- le procedure implementate per gestire situazioni quali il verificarsi di un data breach, la gestione dei dati aziendali e la ricezione di una richiesta di esercizio dei diritti da parte degli interessati;
- Le diverse evidenze collegate a Data Breach avvenuti, Audit svolte, attività formative, richieste degli interessati;
- le informative sui trattamenti di dati personali;
- la documentazione relativa ai Responsabili del trattamento (nomine, DPA, check di verifica);
- l’atto di designazione del DPO o in assenza il documento di valutazione circa la decisione di non designarlo;
- l’analisi dei rischi e valutazioni di impatto (DPIA) svolte;
- le regole implementate per determinare i periodi di conservazione dei dati o i criteri per individuarli.
Questo è il primo set documentale da predisporre per garantirsi un dialogo sereno e costruttivo. Poi chiaramente ogni realtà deve fare i conti con la sua specifica attività e verificare eventuali adempimenti particolari che le competono.
Lascia un commento