Le ispezioni privacy consistono in accessi a banche di dati ed archivi o in altre verifiche effettuate nei luoghi ove si svolge il trattamento dei dati personali o nei quali occorre effettuare rilevazioni utili al rispetto della disciplina in materia di trattamento dei dati personali. 

In base al GDPR (General Data Protection Regulation) cd. Regolamento generale sulla protezione dei dati, il Garante può procedere con un’ispezione, anche avvalendosi della collaborazione del personale della Guardia di Finanza.

Il Garante rende periodicamente noti i settori e le attività che saranno oggetto di ispezione nel semestre successivo: si tratta di settori di rilevanza rispetto all’opinione pubblica e rispetto alle novità normative, per la grande quantità di dati personali trattati e per la particolare natura invasiva dei trattamenti eseguiti. 

In data 12 settembre 2019 l’Autorità ha pubblicato il piano di ispezioni del secondo sempre 2019. Tra le aree di intervento rientrano: banche dati di enti pubblici ed applicativi per la gestione della segnalazione di condotte illecite (cd. whistleblowing), di istituti bancari, di intermediari per la fatturazione elettronica, di società per attività di marketing, di Food delivery, ed in ambito sanitario.

Occorre perciò tenere presenti i seguenti aspetti fondamentali nell’ambito di un’ispezione privacy. Le informazioni false riportate nei documenti sulla privacy possono portare a responsabilità penali.

L’azienda è tenuta a mettere a disposizione dell’Autorità il registro dei trattamenti, il quale deve contenere l’inventario di tutti i trattamenti di dati personali eseguiti da parte dell’azienda. È bene assicurarsi che il registro delle attività di trattamento e le informative privacy riflettano correttamente le attività di trattamento dei dati svolte  dell’azienda, e non siano documenti standard, privi di contenuto reale.

Occorre una preparazione adeguata ad un’ispezione privacy: la maggior parte delle ispezioni avviene senza preavviso e, per questo, sono denominate anche “dawn raid”. È bene predisporre una procedura interna su come gestire le ispezioni ed informare adeguatamente il personale: il comportamenti scorretto del personale è uno dei maggiori rischi da tenere in considerazione.

Il Responsabile della protezione dei dati (cd. DPO) deve essere facilmente raggiungibile e realmente coinvolto nell’organizzazione aziendale, oltre che formalmente incaricato mediante una lettera di nomina e una delibera del CdA. Dalla mancata preparazione del DPO l’Autorità potrebbe desumere che l’azienda non è in grado di esercitare un controllo effettivo sui trattamenti dei dati personali.

Uno dei motivi da cui potrebbe derivare un’ispezione privacy è la mancata notifica al Garante di una violazione dei dati personali (cd. data breach) di cui l’Autorità sia comunque venuta a conoscenza.

Nonostante tale previsione, il numero di notifiche di violazione dei dati personali effettuate in Italia è notevolmente inferiore ad altre giurisdizioni. È bene quindi prevedere una dettagliata procedura interna su come gestire i data breach, prevedendo anche degli obblighi a cui sono tenuti i fornitori dei servizi coinvolti dalla violazione.

Ulteriori indicazioni nei prossimi approfondimenti.