Ispezioni Garante Privacy-NIENTE PANICO!



Il suono al campanello aziendale da perte del Garante Privacy diffonde, nella maggior parte dei casi, uno stato di agitazione tra il Titolare e i suoi collaboratori. In questi attimi di panico generale mentre  gli ispettori raggiungono gli uffici, si cerca di recuperare il dossier privacy e una persona a cui spetta il compito di accogliere l'Autorità. Nonostante i tentativi di mantenere la calma, un'aria tesa viene percepita da tutti i presenti...
 
Situazione  famigliare? NIENTE PANICO. Di seguito vi riportiamo alcuni consigli che il Garante Privacy ha svelato durante il Privacy Day di Pisa, il 19 giugno 2019.  




Le ragioni del controllo

  • Controllo conseguente ad un reclamo proposto dinanzi all’Autorità;
  • Controllo eseguito in seguito alla programmazione approvata dal Garante privacy. Ogni due semestri vengono individuate delle categorie, in riferimento alle pericolosità dei dati, sulle quali si intende effettuare dei controlli.
  • Controllo di verificadel rispetto del principio dell’Accountability, in specifici settori, non oggetto di indagini passate;

Analisi del Registro delle Attività di Trattamento

L’analisi del REGISTRO DELLE ATTIVITÀ DI TRATTAMENTO, è rivestita di un alto grado di importanza essendo un adempimento contemplato dall’art. 30 dal Regolamento privacy 2016/679, ai sensi del quale:

“Ogni titolare del trattamento e, ove applicabile, il suo rappresentante tengono un registro delle attività di trattamento svolte sotto la propria responsabilità.”

Nonostante l'obbligatorietà di stesura del registro gravi principalmente sulle aziende con un numero di dipendente maggiore di 250 , o nel caso in cui siano trattati dati di natura particolare ex art. 9 del Regolamento privacy 2016/679, il Garante privacy consiglia ugualmente di predisporre il documento in esame, affinché si renda palese l'esistenza di una contezza del Titolare delle diverse tipologie di dati trattati, delle basi giuridiche di riferimento e in particolare delle misure di sicurezza implementate per garantire la protezione degli stessi.

Il documento permette di evidenziare i presupposti di liceità dei trattamenti stessi, così da agevolarne l’attività di verifica. Per tali ragioni il Garante privacy, ritiene poco produttivo per l’Azienda dotarsi di registri di trattamento eccessivamente generici e standard, che non rispecchiano i reali flussi di dati aziendali.

Il ruolo del DPO 

Questa prima fase di controlllo investe di ruolo fondamentale il DPO, il quale, se presente, è in grado di ricostruire attentamente il flusso dei dati aziendali, le modalità di compilazione del documento stesso e fornire risposte puntuali ed esaurienti.

Essendo il contributo del DPO significativo, al punto da divenire a tutti gli effetti un punto di contatto tra Azienda e Garante privacy, l’Autorità suggerisce di contattarlo immediatamente, non appena la data d’ispezione viene comunicata.

Attenzione, le ispezioni non sempre vengono annunciate, in alcuni casi viene concesso un congruo preavviso, in altri, avviene a sorpresa.

Gestione Data Breach

Tra i consigli forniti dal Garante privacy si individua anche la necessità di disporre di una chiara procedura di gestione Data Breach, che identifichi in maniera puntuale i compiti dei soggetti preposti alla gestione della potenziale violazione dei dati. Questa è una delle mancanze principali che è stata riscontrata nelle visite ispettive effettuate.

Analisi della documentazione privacy

Dopo aver analizzato il registro è probabile che gli ispettori richiedano di visionare l’intera documentazione prodotta, dalle informative alle lettere di nomina. Ecco perché è opportuna una classificazione ordinata, facente capo ad una logica precisa, di tutti i documenti che sono stati consegnati e sottoscritti.

Una siffatta gestione documentale è indice di una chiara comprensione della norma stessa e quindi un valore aggiunto all’esito dell’ispezione.

Formazione privacy 

Per ultima, ma non per importanza, il Garante privacy richiede di prestare particolare attenzione alla formazione degli incaricati: è necessario predisporre un piano formativo adeguato a tutti i soggetti coinvolti nei vari trattamenti, con evidenza della reale preparazione degli stessi.

 

Con la speranza che questo articolo abbia portato maggiore chiarezza sullo svolgimento delle attività di controllo del Garante, Regolamento 679 vi invita a prestare particolare attenzione agli aspetti sopra elencati.
 
Il nostro team specializzato rimane a vostra disposizione per chiarimenti e la consulenza privacy a Torino, Milano e su tutto il territorio nazionale

Se siete preoccupati per le spese, sappiate che potete finanziare i costi con Fondimpresa! Come farlo?

 
 
cONTATTA PER CONSULENZA PRIVACY, FORMAZIONE PRIVACY A TORINO 
 
Scopri subito la nostra soluzione Privacy Facile
e trova la versione pił adatta alle tue esigenze

SCOPRI


© Copyright 2022, REGOLAMENTO 679 è un marchio di
SCANAVINO & PARTNERS CONSULENZE srl

Sede legale e operativa:
c.so Unione Sovietica 612/15/A
10135 - Torino (TO)


P.Iva: 11670750014
E-mail: info@scanavinoepartners.it
Telefono: 011.906.37.55