Chi non ricorda la sensazione provata al momento dell’interrogazione a sorpresa? A prescindere dalla preparazione, dal contesto e dall’importanza, l’interrogazione a sorpresa ha turbato l’adolescenza di ognuno.
Eppure l’input di qualunque professore dall’esistenza della scuola fino alla DAD dei giorni nostri è partecipare attivamente alla lezione e fare i compiti a casa.
A proposito di scuola: scopri come rispettare in maniera semplice ed efficace il GDPR.
In sostanza il lavoro costante ed equilibrato permette di affrontare imprevisti (anche se in realtà sono previsti, ma reputati improbabili sulla nostra pelle) in maniera adeguata e consapevole.
E’ un dogma applicabile a grandi linee su tutti i campi: prevenire, prevedere e programmare è l’elisir non di lunga vita, ma di una vita più allenante e serena.
La programmazione delle ispezioni del Garante Privacy
Un’ispezione del Garante Privacy può essere considerata dall’ente, organizzazione o azienda che la subisce, molto simile a un’interrogazione a sorpresa, ma con conseguenze ben più gravi.
Le analogie sono molte: non è imprevista, bensì prevista ma considerata ingenuamente sempre troppo lontana dai propri affari, i consigli dei professori in questo caso sono leggi da rispettare contenute nel GDPR, eppure gli “impreparati” sono molti.
A tal proposito, lo sai che esiste un algoritmo che valuta gli studenti? Scopri come si relaziona con il GDPR.
In questo caso il Garante Privacy, attraverso deliberazione, garantisce un preavviso di 6 mesi: semestralmente approva e rende noto il programma delle ispezioni di ufficio pianificate per i successivi 6 mesi.
All’interno di questo programma definisce gli ambiti e le molteplici aree in cui effettuerà le proprie ispezioni.
Quali soggetti partecipano alle ispezioni
Durante le ispezioni vengono coinvolti differenti soggetti, che appartengono alle due differenti fazioni: da una parte il titolare che “subisce” l’ispezione, dall’altra gli ispettori che “conducono” l’ispezione.
Tra le fila del titolare, figura il comitato di accoglienza, il Privacy Team, il TEAM del DPO e il DPO, i dirigenti aziendali o del progetto, oltre agli eventuali consulenti esterni.
A comporre il team di ispettori, tutti provvisti di formale incarico scritto, la Guardia di Finanza attraverso il Nucleo Speciale Privacy e il dipartimento sanzioni del Garante.
Se vuoi approfondire il ruolo del Garante, le sue funzione e la collaborazione con la Guardia di Finanza, qui trovi tutte le informazioni.
I limiti e le peculiarità dell’ispezione
Esistono dei limiti ben precisi in merito alle ispezioni, da rispettare pedissequamente in determinate circostanze:
- Le ispezioni vengono effettuate con l'assenso informato del titolare o del responsabile.
se svolte in un'abitazione, in privata dimora o nelle relative appartenenze.
L’unica eccezione all’assenso è rappresentata dall’autorizzazione del presidente del tribunale territorialmente competente. - Se la Guardia di Finanza effettua attività ispettiva in materia fiscale, non può effettuare attività ispettiva anche in materia di tutela dei dati personali.
In caso di rilevati “abusi” segnalerà al Garante che valuterà ed eventualmente predisporrà l’avvio di un’attività di accertamento. - Gli accertamenti effettuati presso il titolare o il responsabile vanno effettuati dalle 7.00 alle 20.00.
- L’ispezione può essere eseguita senza preavviso.
Il Codice Privacy prevede che l’accertamento possa essere eseguito con preavviso quando ciò può facilitarne l'esecuzione.
Qual è lo svolgimento delle ispezioni
Doveroso ribadire che la durata e lo svolgimento delle ispezioni variano da caso a caso.
Solitamente le attività si svolgono in 3 giornate e il modus operandi è il seguente:
- Raccolta della documentazione;
- Approfondimento degli aspetti generali attraverso l’analisi della documentazione e le interviste dirette con Referente del Privacy Team.
- Approfondimento di aspetti specifici attraverso le interviste dirette con il Process Owner, le simulazioni di casi pratici, l’accesso a sistemi con screenshot di tutte le operazioni, estrazioni e confronto dei dati estratti dai sistemi informativi.
Non sempre i documenti richiesti sono disponibili al momento dell’ispezione: il titolare o responsabile può fornire la documentazione richiesta dal Garante entro 30 giorni dall’ispezione.
Cosa viene emesso alla fine dell’ispezione
Al termine delle attività di ispezione, gli output forniti dal Garante sono:
- Verbale firmato da tutte le parti;
- Richiesta di integrazione;
- Istruttoria di 3 mesi con ordinanza in 5 anni;
- Provvedimenti: richiami, misure correttive, blocco trattamento, sanzioni amministrative, ecc...
Sei pronto ad affrontare l’ispezione? Ecco alcuni consigli
Dopo aver appreso tutte le informazioni utili a conoscere i soggetti coinvolti, lo svolgimento e le caratteristiche delle ispezioni, sei realmente pronto ad affrontare un’eventuale ispezione?
Ecco alcune linee guida per prepararti nella giusta maniera al fatidico momento:
- Coinvolgi sempre figure apicali dell’organizzazione aziendale;
- Considera che l’ispezione del Garante non è solamente una tematica legale o IT, i team devono essere trasversali;
- Completa e aggiorna costantemente il registro dei trattamenti;
- Completa e aggiorna i documenti eventualmente richiesti durante l’indagine dei trattamenti più rilevanti;
- Formalizza le scelte effettuate attraverso i verbali;
- Mappa adeguatamente le attività del DPO;
- Al momento di prendere scelte difficili, ricorda sempre che durante l’ispezione dovrai dimostrare la legittimità di ogni decisione;
Effettua simulazioni di visite ispettive.
