Controlli GDPR: come superarli senza problemi

I controlli GDPR possono essere svolti in qualunque azienda da parte del Garante della Privacy o della Guarda di Finanza.

Spesso, tali ispezioni avvengono a seguito di una segnalazione o possono scattare d’ufficio, in genere come conseguenza di un’evidente violazione. Tuttavia, questa non è la regola e un controllo può scattare in qualsiasi momento su iniziativa del Garante.

La buona notizia è che in genere si riceve un preavviso di almeno 24 ore a mezzo PEC e solo raramente vengono eseguiti controlli a sorpresa. In ogni caso, è sempre bene farsi trovare preparati e avere tutto in ordine, poichè non è detto che le 24 ore di preavviso siano sufficienti a riparare a eventuali disattenzioni, seppur in buona fede.

Le modalità dei controlli GDPR seguono più o meno uno standard preciso, quindi è possibile prevedere, in una certa misura, cosa ti verrà chiesto. A questo abbiamo aggiunto anche qualche consiglio su come comportarsi in questa circostanza.

Cosa bisogna preparare

Innanzitutto, è bene che il titolare dei dati (in genere il legale rappresentante dell’azienda) sia presente al momento dell’ispezione assieme al DPO e, qualore tu ne abbia uno, un consulente esperto in materia, per esempio il tuo avvocato.

Inoltre, bisogna avere a portata di mano i seguenti documenti:

  • Registro dei trattamenti: il documento in cui tutti i dati raccolti vengono censiti e catalogati e ne viene esplicitata la finalità. Questo registro va sempre tenuto aggiornato. Inoltre, è un documento che indica anche le procedure dedicate alla protezione dei dati.
  • Policy: i documenti che vengono sottoposti ai soggetti i cui dati vengono raccolti e trattati. Questi documenti devono informare sulla finalità del trattamento dei dati e sui diritti in materia, quali cancellazione, modifica dei dati e le modalità in cui tali operazioni sono possibili.
  • Certificazioni: se la tua soluzione per la protezione dei dati rispetta uno standard, gli ispettori potrebbero voler vedere il documento di certificazione.
  • Responsabili esterni: se la tua azienda affida il trattamento dei dati a un fornitore esterno, questi devono essere nominati e autorizzati dal rappresentante legale, il quale deve essere in possesso dei documenti che ne attestino la nomina.
  • Nomina del DPO, qualora fosse presente e, in caso contrario, una motivazione per la quale non sia stato nominato un DPO.

È necessario, inoltre, saper documentare la procedura di gestione dei data breach, qualora ce ne fosse uno. Lo scopo è dimostrare di aver adottato misure sufficienti a prevenirli nei limiti del ragionevole e di svolgere tutte le azioni necessarie a limitare i danni subiti se tale eventualità si verificasse, compreso informare i soggetti coinvolti.

Come comportarsi

Innanzitutto, la cosa importante è mostrarsi collaborativi e non ostacolare l’ispezione. Durante il procedimento, è possibile che gli ispettori decidano di tenere per sé alcuni documenti per ulteriori analisi. In tal caso, è indispensabile conservare sempre l’originale e fornire solo una copia. Gli ispettori, comunque, non sono autorizzati a chiedere l’originale.

Il DPO dovrebbe prendere nota di tutti i documenti che vengono richiesti e ispezionati durante i controlli GDPR e verificare che non vengano richiesti documenti non pertinenti all’ispezione.

Al termine dell’ispezione, è importante farsi lasciare una copia del verbale, anche se non sono state rilevate irregolarità, e far controllare al proprio legale o al DPO la correttezza del suo contenuto.

Ricorda, inoltre, che per le informazioni riservate (es.: i pagamenti stipulati in un contratto) si può decidere di oscurarle e fornire agli ufficiali una copia opportunamente censurata, purché ciò non intralci il loro lavoro.

La presenza del DPO e di un avvocato, inoltre, ti aiuteranno a evitare di rilasciare dichiarazioni inesatte. In ogni caso, se sei in dubbio, meglio non rispondere che rispondere in maniera non corretta.

Con queste semplici regole dovresti superare i controlli GDPR senza particolari problemi.