Come gestire una Ispezione Privacy

E’ appena stato pubblicato da parte del Garante Privacy il piano di ispezioni programmate per il primo semestre 2022 , che saranno svolte dal Nucleo Speciale Tutela Privacy e Frodi Informatiche della Guardia di Finanza e che riguardano i seguenti settori:

a) gli accertamenti nei confronti di profili di interesse generale per categorie di interessati nell’ambito di:

• trattamenti di dati personali svolti da “fornitori di database”;
• trattamento di dati personali svolti da piattaforme e siti web in ordine alla corretta gestione dei cookies;
• trattamento di dati personali nel settore della c.d. “videosorveglianza”;
• trattamento di dati personali da parte di siti di incontri;
• trattamento di dati personali da parte di operatori dell’ambito della c.d. “data monetization”;
• trattamento di dati personali da parte di produttori e distributori di smart toys;
• trattamento di dati personali da parte di algoritmi e intelligenza artificiale in ambito pubblico e privato;

b) gli accertamenti nei confronti di soggetti pubblici e privati, al fine di verificare l’osservanza delle disposizioni in materia di protezione dei dati personali, con particolare riferimento

• alla corretta individuazione dei titolari e dei responsabili del trattamento, anche in relazione all’utilizzo di app. e altri applicativi informatici;
• all’acquisizione di informazioni e dati personali da parte di app istallate sugli smartphone
• alla verifica sul corretto trattamento dei dati da parte di app diverse da Verifica C19.

Cosa bisogna fare in caso di ispezione?

Innanzitutto , se nominato, è opportuno contattare il proprio DPO in modo che possa agevolare il dialogo e interfacciarsi con la Guardia di Finanza.

Ove questi non fosse stato nominato, è sempre possibile richiedere il supporto del proprio consulente privacy.

Durante l’ispezione verranno richieste alcune prove documentali a dimostrazione del principio di Accountability del Titolare del trattamento, che dovranno essere aggiornati e attuali.

Tra i documenti da produrre nel corso di un’ispezione troviamo:

• Il registro dei trattamenti ;
• il set documentale comprensivo di organigramma, profili di accesso, nomine ecc ;
• le procedure implementate per gestire situazioni quali il verificarsi di un data breach, la gestione dei dati aziendali e la ricezione di una richiesta di esercizio dei diritti da parte degli interessati;
• Le diverse evidenze collegate a Data Breach avvenuti, Audit svolte, attività formative, richieste degli interessati;
• le informative sui trattamenti di dati personali;
• la documentazione relativa ai Responsabili del trattamento (nomine, DPA, check di verifica);
• l’atto di designazione del DPO o in assenza il documento di valutazione circa la decisione di non designarlo;
• l’analisi dei rischi e valutazioni di impatto (DPIA) svolte;
• le regole implementate per determinare i periodi di conservazione dei dati o i criteri per individuarli.

Questo è il primo set documentale da predisporre per garantirsi un dialogo sereno e costruttivo. Poi chiaramente ogni realtà deve fare i conti con la sua specifica attività e verificare eventuali adempimenti particolari che le competono.