Il Nucleo Ispettivo del Garante della Privacy ha divulgato, nei giorni scorsi, un protocollo di prassi che sarà seguito durante i controlli che si effettueranno nelle sedi delle imprese per quanto riguarda il rispetto del GDPR.
In particolare si sottolineano questi punti:
• Si presterà attenzione alla sostanza, e non alla forma della documentazione presentata agli ispettori. Molti documenti verranno considerati inutili se l’accountability del titolare non sarà visibile in concreto. Con il termine Accountability si intende la responsabilizzazione del titolare di un trattamento dati al preciso rispetto delle norme e dei protocolli contenuti nel GDPR. Così facendo il titolare non è più solo un esecutore di un elenco di misure imposte ma diviene responsabile delle misure operative e tecniche che riterrà opportune, efficaci e dunque adeguate per salvaguardare i dati che tratta.
• La prima cosa che domanderanno al titolare in fase di ispezione sarà il contatto del Data Protection Officer (il responsabile del trattamento dati) e dialogheranno soltanto con il titolare con il Dpo.
• La seconda cosa che domanderanno sarà il registro dei trattamenti. Chiederanno una stampa e lo consulteranno insieme al Dpo per conoscere i punti di criticità e leggere la descrizione delle misure di sicurezza.
• La terza cosa che verificheranno saranno le informative e i moduli di raccolta del consenso anche se è stato comunicato che questa verifica verrà effettuata già a partire dal sito web dell’impresa controllata.
• La quarta cosa che verificheranno sarà l’approccio reale al GDPR, alla sicurezza e all’accountability. Verranno verificate le istruzioni specifiche date a tutti i soggetti che trattano i dati. Tali istruzioni devono essere documentate e protocollate, così come il flusso di informazioni. Sarà controllata inoltre la formazione fornita ai dipendenti sul GDP attraverso corsi e incontri specifici documentali. A tal proposito si richiede una formazione specifica a tutti i dipendenti e dirigenti su come reagire ai data breach (violazione dei dati) e come evitarli.
• La quinta cosa che domanderanno sarà la valutazione d’impatto.
• La sesta cosa che domanderanno saranno i contratti con i responsabili esterni e la verifica se prima del contratto è stata fatta un’analisi del rischio reale sulle misure di sicurezza di chi riceve i dati o se il contratto è stato fatto senza verificare.
• La settima cosa è l’attenzione ai diritti degli interessati. Il GDPR pone al centro dell’attenzione il soggetto titolare dei diritti, quindi ogni richiesta (di accesso, di portabilità, di rettifica, di oblio) deve essere subito presa in carico e le soluzioni devono essere a tutela della persona.
Si ricorda che dal 25 maggio 2018 in Europa sono già partite le verifiche e che le Autorità di Garanzia sono, al momento, collaborative con i titolari non in regola: la media delle sanzioni attualmente oscilla tra i 20 mila e i 40 mila euro. Si sono verificati, però, alcuni casi specifici: Google in Francia è stata multata per 50 milioni di euro mentre un ospedale in Portogallo ha subito un’ammenda di 500 mila euro per un problema di credenziali e autorizzazioni.
Per qualsiasi informazione al riguardo non esitare a contattare il nostro ufficio privacy chiamando il numero verde 800 53 30 60