A distanza di un anno dall’entrata in vigore del Regolamento Privacy GDPR 679/2016 e terminato il periodo transitorio, il Garante Privacy ha pianificato le prime 100 ispezioni tra aprile e giugno 2019. Certo, il target è ben individuato: settore bancario, quello sanitario e società che fanno uso di programmi loyalty tramite lo strumento ormai diffusissimo della fidelity card. Ma queste prime attività di controllo possono essere utili a tutti per capire quali sono i principi che l’autorità va a verificare , primo fra tutti quello dell’accountability.
Il team che viene richiesto dagli ispettori è costituito da : il titolare, i responsabili interni del trattamento, il consulente privacy e , ove nominato, il DPO, che deve essere altamente reperibile e deve fare tutto ciò che è possibile per presenziare all’incontro e confrontarsi con gli ispettori.
Le stesse competenze del Dpo insieme alla correttezza della sua nomina (che deve derivare da una delibera del CdA) sono oggetto di verifica ed attenta valutazione in caso di ispezione.
In un’ottica di piena responsabilizzzazione del Titolare, l’azienda dovrà dimostrare come è giunta a determinate conclusioni e scelte operative. L’attenzione è rivolta in particolare a tutti quei trattamenti che riguardano il marketing e la profilazione e si concentrerà sulle informative, sulle modalità con cui queste vengono erogate, sulla correttezza, completezza e trasparenza dei conenuti nonchè sulle modalità per dare riscontro sulla disponibilità del consenso e per l’esercizio dei diritti dell’interessato.
In presenza di responsabili esterni vengono valutate le nomine e le procedure di valutazione del fornitore stesso per quanto riguarda la sua affidabilità e le misure di sicurezza da questi previste.
Dal punto di vista documentale vengono poi analizzati la valutazione del rischio e di impatto (ove applicabile) ed il registro dei trattamenti .
L’autorità ha 90 giorni di tempo per deliberare sulla compliance dell’azienda, che in questo lasso di tempo può eventualmente decidere di integrare la documentazione consegnata .
Infine vengono passate in rassegna le misure tecniche ed organizzative adottate dall’azienda (crittografia, pseudonimizzazione, misure atte a garantire la disponibilità e riservatezza del daato, procedure di backup e ripristino) nonchè le procedure, meglio se automatizzate, per rilevare e gestire i data breach.
Lascia un commento