Da settembre 2018 sono stati avviati i primi controlli sul rispetto del principio di responsabilizzazione (accountability) istituito dal G.D.P.R.
Tutti i titolari del trattamento dei dati personali (data controllers) possono essere interessati dalle ispezioni d’iniziativa del Garante che, con il passar dei mesi, si intensificheranno secondo un programma di controlli richiesto dal G.D.P.R. alle singole Autorità europee.
Nessuno si senta al sicuro ma non è il caso di temere disgrazie incombenti per chi si è messo veramente in regola con le disposizioni del Regolamento UE 2016/679 e del codice privacy come novellato dal D.lgs. 101/2018.
Con il termine anglosassone accountability, alla lettera rendicontazione, in realtà si fa riferimento al principio che richiede e pretende che il titolare del trattamento attui misure adeguate per garantire e dimostrare che il trattamento dei dati personali effettuato è conforme al G.D.P.R.
L’importanza del principio in questione si evidenzia in maniera lampante in fase di controlli del Garante dove l’azienda o il professionista dovrà dimostrare agli ispettori con ragionamento logico e documentare quanto ha fatto concretamente ed eventualmente difendersi da scelte opinabili come ad esempio il non aver attivato il registro dei trattamenti o non aver provveduto alla nomina di un Responsabile della protezione dei dati, il Data Protection Officer.
Sul sito www.garanteprivacy.it è stata resa pubblica la Deliberazione del 14 febbraio 2019 inerente l’attività ispettiva del Garante, anche per mezzo della Guardia di finanza, per il primo semestre 2019.
L’attività ispettiva viene svolta in applicazione del Regolamento e del codice privacy nei confronti di soggetti non necessariamente individuati sulla base di reclami o segnalazioni degli interessati.
Vi saranno controlli nei confronti di soggetti, pubblici e privati, appartenenti a categorie omogenee sui presupposti di liceità del trattamento, sulle condizioni per il consenso qualora il trattamento sia basato su tale presupposto, sul rispetto dell’obbligo dell’informativa nonché sulla durata della conservazione dei dati.
Il Garante potrà svolgere ulteriori attività istruttorie di carattere ispettivo d’ufficio, ovvero in relazione a segnalazioni o reclami proposti dagli interessati (data subjects).
In ogni caso posso e devo consigliare le aziende e i professionisti, titolari o responsabili esterni del trattamento (data processors) di essere pronti a gestire un’ispezione dell’Autorità giovandosi anche dell’apporto di professionisti con esperienza consolidata nel settore Data Protection.
Il Garante può disporre accessi a banche dati, archivi o altre ispezioni e verifiche nei luoghi ove si svolge il trattamento o nei quali occorre effettuare rilevazioni comunque utili al controllo del rispetto della normativa sul trattamento dei dati personali.
L’art. 157 del codice prevede che il Garante possa chiedere al titolare, al responsabile, al rappresentante del titolare o del responsabile nominati ex art. 27 GDPR, quindi a soggetti extraeuropei, all’interessato o anche a terzi di fornire informazioni o di esibire documenti anche in relazione a banche dati.
Nel rispetto del principio di accountability è richiesto al titolare di provvedere alla formazione obbligatoria, almeno a scadenze annuali e comunque in stretta relazione al trattamento dei dati svolto in azienda, dei dipendenti e documentarla in sede di ispezioni del Garante.
Cosa si rischia a non effettuare la formazione in azienda oppure a farla non a regola d’arte?
Nel caso di mancata erogazione della formazione si applica l’art. 83.4 del Regolamento con la sanzione fino a 10 milioni di euro o, per le imprese, fino al 2% del fatturato mondiale annuo dell’anno precedente se superiore.
Le ispezioni possono essere “annunciate” dal Garante tramite una comunicazione mediante posta elettronica, il giorno prima del sopralluogo, ma possono anche avvenire a sorpresa.
In caso di rifiuto, gli accertamenti sono comunque eseguiti e le spese ove occorrenti sono poste a carico del titolare con il provvedimento che definisce il procedimento.
Agli accertamenti possono assistere persone indicate dal titolare o dal responsabile quindi anche gli avvocati esperti di Data Protection, consulenti legali dell’azienda che in genere sono subito convocati per presenziare alle operazioni ispettive e tutelare le loro posizioni.
L’ambito dell’ispezione è individuato da un documento che viene notificato al momento dell’accesso in sede, la “richiesta di informazioni” con cui il Garante domanda come siano stati assolti determinati obblighi legislativi o regolamentari in materia di protezione dei dati personali.
La richiesta può includere come viene data l’informativa agli interessati, come viene raccolto il consenso ove necessario, come sono contrattualizzati i responsabili esterni del trattamento, quali misure di sicurezza sono applicate in azienda, per quanto tempo e come vengano conservati i dati trattati e altro in linea con i principi del GDPR.
Di fondamentale importanza è la redazione del verbale di quello che avviene e delle dichiarazioni del soggetto che subisce l’ispezione. Il verbale viene redatto in contraddittorio tra le parti, riportando le eventuali dichiarazioni dei presenti, se l’accertamento viene effettuato presso la sede del titolare del trattamento.
Consiglio di verificare la correttezza di quanto dichiarato, anche al fine di limitare i rischi di sanzioni penali e/o amministrative.
In genere vengono assegnati quindici giorni dal primo giorno di ispezione per l’invio di copia della documentazione quando non si riesca a consegnare immediatamente quanto richiesto.
Il Garante è l’organo competente ad irrogare le sanzioni pecuniarie dell’art. 83 e i provvedimenti correttivi di cui all’art. 58 paragrafo 2 del G.D.P.R..
L’applicazione delle sanzioni pecuniarie, mi riferisco all’ammontare delle somme, tiene conto di una serie di criteri indicati all’art. 83 del G.D.P.R. per cui il Garante dovrà considerare, tra l’altro, le circostanze del caso particolare e del soggetto trasgressore valutando l’entità del danno arrecato agli interessati, il numero degli interessati destinatari della violazione, la collaborazione prestata dal trasgressore al fine di ridurre gli effetti negativi nei confronti degli interessati.
Il Garante, va ricordato, può rivolgere avvertimenti al titolare o al responsabile indicando che i trattamenti previsti possono violare le disposizioni del GDPR, rivolgere ammonimenti ove i trattamenti abbiano violato dette disposizioni, ingiungere di soddisfare le richieste dell’interessato di esercitare i diritti derivanti dal GDPR, ad esempio il diritto alla portabilità dei suoi dati, ingiungere di conformare i trattamenti alle disposizioni del Regolamento in una certa maniera ed entro un certo termine, di comunicare all’interessato una violazione dei dati personali, imporre una limitazione provvisoria o definitiva del trattamento incluso il divieto di trattamento, ordinare la rettifica, la cancellazione di dati personali o la limitazione del trattamento, prescrivere al titolare di adottare una procedura.
Qualora l’ufficio reputi che dagli elementi acquisiti si evidenzino violazioni alle prescrizioni del GDPR o del codice privacy è prevista la notifica delle stesse al titolare o al responsabile del trattamento.
Il rispetto del principio del contraddittorio, anche nella fase post-ispettiva, si manifesta nella facoltà di inviare al Garante entro 30 giorni dal ricevimento della notifica scritti difensivi o documenti e chiedere di essere ascoltati.
Scaduto il termine ed esaminate le difese dei soggetti sanzionati, il Garante prenderà la decisione sulla violazione ascritta al titolare per cui potrà comunicare il provvedimento sanzionatorio (ordinanza-ingiunzione) e il trasgressore entro 30 giorni potrà adeguarsi definendo la controversia mediante il pagamento di un importo pari alla metà della sanzione irrogata.
In alternativa è possibile per il trasgressore proporre ricorso all’autorità giudiziaria sempre nel termine perentorio di 30 giorni, al Tribunale del luogo dove il titolare del trattamento risiede oppure del luogo di residenza dell’interessato.