Privacy: cosa fare per affrontare un’ispezione
Un’ispezione in materia di privacy è volta ad appurare che i dati personali di cui l’organizzazione è in possesso, siano trattati secondo quanto previsto dal Regolamento Europeo 2016/679 (GDPR); in particolare viene verificata la correttezza dei metodi di acquisizione, archiviazione, protezione, gestione e cancellazione dei dati personali. Si tratta di un controllo non solo formale o documentale, ma volto alla verifica dei flussi di dati personali gestiti dall’impresa.
Le attività di controllo sono delegate al Nucleo Speciale Privacy della Guardia di Finanza, ma nei casi di maggior rilievo e gravità le ispezioni possono essere svolte direttamente da funzionari del Garante.
Come affrontare una visita ispettiva in materia di privacy? Vediamo quali sono gli ambiti su cui prestare maggiore attenzione e su cui si potrebbe concentrare l’attività di verifica:
- definizione di un organigramma privacy con nomina formale del personale incaricato al trattamento dei dati con precisa indicazione dell’ambito del trattamento consentito e delle istruzioni sul trattamento stesso; nomina formale degli eventuali responsabili
- registro dei trattamenti, obbligatorio per tutti i soggetti giuridici
- gestione di eventuali data breach (violazioni) e corretta compilazione del registro dedicato
- presenza di adeguate informative e corretta gestione dei consensi
- formazione del personale in materia di privacy, considerata una misura di sicurezza per il trattamento dei dati personali; tale formazione deve essere differenziata in funzione del ruolo aziendale e della tipologia di dati effettivamente trattati
- sistemi informatici e loro gestione da parte dei responsabili: modalità di acquisizione dei dati, trasferimento nei server dell’azienda o del provider, accorgimenti per la loro protezione, ecc.
- rispetto dei principi fondamentali del GDPR: minimizzazione dei dati, limitazione, integrità e riservatezza, trasparenza, limitazione temporale
- conformità dei fornitori: formalizzazione dei rapporti sotto il profilo privacy attraverso specifici contratti con responsabilità di ciascun soggetto rispetto alla gestione del dato; dimostrazione dei criteri di selezione sotto il profilo della valutazione privacy
In conclusione, quello che viene richiesto al titolare in sede ispettiva è comprovare l’accountability, ovvero l’attuazione delle misure tecniche e organizzative opportune, efficaci ed adeguate alla salvaguardia dei dati personali trattati.
Se ritenete di non essere pronti ad affrontare serenamente un’ispezione privacy contattateci alla mail: privacy@ergonstp.it o al n.ro 040/3783211.
