Come si svolge un’ispezione del Garante della privacy per verificare che i dati siano trattati in compliance al GDPR: passo per passo, ecco ogni aspetto che viene controllato in azienda. Un utile approfondimento per valutare se si sta agendo in modo adeguato al regolamento europeo o se si stanno trascurando azioni importanti.
Il quadro normativo
Nell’aprile 2019 è stato pubblicato in Gazzetta ufficiale il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la privacy per la protezione dei dati personali”. Anche da esso si evince l’ampiezza dei poteri del Garante, o delle autorità delegate, nello svolgere i controlli, in particolare nell’effettuare le ispezioni presso i titolari. L’ispezione può avvenire a seguito di istanza di parte (reclamo o segnalazione al Garante) oppure d’ufficio da parte dell’Autorità, ad es. in base alla pianificazione semestrale dei controlli, si svolge presso la sede del titolare o tramite convocazione presso l’Autorità ed è disposta da un ordine di servizio.
Se si ostacola l’esecuzione dell’ispezione le conseguenze possono essere pesanti. In particolare, per mancato riscontro alla richiesta di informazioni o negato accesso ai dati o ai locali sono previste sanzioni amministrative fino a 20.000 euro o il 4% del fatturato se impresa. Vi sono sanzioni penali fino a tre anni di reclusione per chi dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi e fino ad un anno di reclusione per chi intenzionalmente provoca un’interruzione o turba l’esecuzione di un procedimento.
Durante l’attività ispettiva, della quale può essere dato preavviso, è possibile: “controllare, estrarre ed acquisire copia dei documenti, anche in formato elettronico; richiedere informazioni e spiegazioni; accedere alle banche dati ed agli archivi; acquisire copia delle banche dati e degli archivi su supporto informatico”. Da quanto riportato emerge che il controllo non è solo formale e documentale ma mira anche a verificare la corretta gestione dei dati dal punto di vista informatico, indagando il contenuto delle banche dati e quindi i flussi di dati in ingresso e in uscita da queste. Questo è coerente con il principio di accountability, per cui bisogna dimostrare l’applicazione della norma fornendo evidenza dei processi in atto. La pervasività del controllo è quindi molto ampia come è stato approfondito dai relatori dell’evento del 28 giugno 2019 avente per tema “Accountability D’Europa” organizzato dall’Osservatorio679 presso la Sala Zuccari di Palazzo Giustiniani a Roma.
I punti chiave della verifica di conformità
Riassumiamo gli elementi chiave di una verifica di conformità:
- in primo luogo se vi è un unico titolare o se vi sono dei contitolari;
- il punto d’ingresso dell’ispezione è normalmente il Registro dei trattamenti che di fatto è obbligatorio per tutti i soggetti giuridici e che deve essere aggiornato;
- la presenza del RDP o DPO e la sua adeguatezza al ruolo, se presente fa da interfaccia tra Autorità, titolare e interessati;
- la presenza di responsabili e delle relative nomine con il corredo di istruzioni per il trattamento impartite dal titolare;
- le istruzioni al personale autorizzato, la consapevolezza da parte degli autorizzati e l’osservanza effettiva di tali istruzioni;
- l’effettuazione (o la fondatezza dei motivi per l’esclusione) dell’analisi d’impatto;
- le misure di sicurezza messe in atto;
- l’adesione a certificazioni e codici di condotta;
- l’applicazione dei principi di privacy by design e by default quali la minimizzazione dei dati trattati, crittografia, pseudonomizzazione ecc..;
- le modalità di gestione delle violazioni e la compilazione del relativo registro. Per inciso in merito a questo punto, è stato pubblicato il 31 luglio scorso dal Garante il modello per la notifica della violazione che evidenza l’ampiezza delle informazioni da fornire, compresi una classificazione dettagliata dei dati personali oggetto di violazione (è utile confrontare tale classificazione con il dettaglio che si è scritto nel Registro dei trattamenti) e le strutture/sistemi IT coinvolti, con la loro ubicazione. Se è disponibile una mappatura dei processi e della distribuzione dei dati personali sui sistemi IT è più semplice e veloce ricostruire queste informazioni. Anche la classificazione riportata dal modello per le categorie degli interessati e per i potenziali impatti sull’interessato è utile da leggere per verificare il punto di vista che deve essere adottato nell’analisi d’impatto.
Tornando all’ispezione, prendiamo ad esempio un trattamento molto semplice, normalmente censito nel Registro e che è svolto da moltissimi operatori che hanno un sito web: l’invio di una news letter. Proviamo a seguire il percorso di un ipotetico controllo su questo trattamento, in base agli spunti forniti dal Colonnello M. Menegazzo, comandante del Nucleo Speciale Privacy della GdF, durante l’evento prima citato.
Gli step del controllo
Come detto, si parte da quanto descritto nel Registro dei trattamenti e si individua il processo e l’eventuale documento che lo descrive e/o si intervista la persona che in azienda ne ha la conoscenza. Quindi in base al processo dichiarato, se ne valuta la gestione, anche informatica. Ad esempio, nel caso della news letter, viene esaminato se l’interfaccia web che è presentata all’utente per la registrazione è un https oppure non offre garanzie di sicurezza; quali sono di dati richiesti dalla schermata per l’inserimento del nuovo utente, se sono tutti necessari o se sono eccessivi per la finalità esposta nell’informativa; se l’informativa è completa, pertinente ed è sempre visualizzabile, se sono presenti i banner dell’informativa sui cookies, se sono possibili le scelte e sono funzionanti; se sono indicati dei dati di contatto del titolare e se sono operativi, cioè se qualcuno prende in carico la richiesta, come avviene la gestione del disclaimer. Durante il controllo sono acquisiti screenshot, file pdf e altro materiale in modo da tracciare passo per passo le verifiche eseguite.
Nel proseguo del controllo è necessario il contributo dell’amministratore di sistema che deve a sua volta essere stato nominato. Si passa infatti a valutare i flussi di dati e le query (le interrogazioni sui sistemi). Si valuta dove vanno a finire i dati raccolti dal nuovo utente, in quale/i data center sono archiviati o transitano (in questo caso sono poi cancellati o sono scaricabili da terzi?) e dove è ubicato, aprendo ad altre possibili verifiche, ad es. magari nell’informativa è dichiarato che i dati non sono inviati all’estero ma la piattaforma IT che gestisce la news letter utilizza una catena di fornitori e subfornitori che utilizzano server ubicati addirittura extra UE, senza che il titolare ne sia effettivamente consapevole.
Si verifica quindi il ruolo dei fornitori IT che intervengono nel processo, se sono nominati responsabili e quali misure di sicurezza sono state stabilite con il titolare (spesso il titolare non ha possibilità di negoziare ma quanto meno deve essere consapevole delle misure dichiarate dal fornitore e considerarle adeguate o cambiare fornitore); si verifica la qualità dei dati (ad es. la gestione delle news letter non recapitate), per quanto gestito internamente dove sono archiviati i dati, quali misure di sicurezza sono applicate ai sistemi su cui risiedono, la procedura di autenticazione utente, quali restrizioni di accesso sono previste, se sono rispettati e gestiti i periodi di conservazione dichiarati nel Registro, se è periodicamente verificato che gli autorizzati all’accesso ne mantengano il diritto, se gli autorizzati hanno ricevuto le istruzioni.
Se sono previste finalità di marketing, è necessario il consenso dell’interessato e di conseguenza dovrà essere dimostrata l’effettiva acquisizione di tale consenso, se è tutt’ora vigente o se è stato invece revocato. Si può verificare l’utilizzo che il reparto marketing fa dei dati raccolti, se le comunicazioni commerciali agli utenti della newsletter tralasciano effettivamente chi ha revocato il consenso, ad es. che non vi siano incongruenze tra le date delle campagne commerciali e le date di vigenza del consenso, che la registrazione del consenso non sia manipolabile, che non vi sia profilazione senza consenso. Anche qui ci potrebbero essere dei fornitori (responsabili) delegati a svolgere campagne pubblicitarie, con conseguente estensione della verifica al rapporto con loro. Si può passare poi alla gestione dei diritti degli interessati.
Conclusioni
Da quanto esposto emerge quanto il controllo possa essere sostanziale e coinvolgere fortemente gli aspetti tecnologici e di processo, si può inoltre estendere ai rapporti con altri attori quali i responsabili. E’ utile simulare internamente degli audit ad es. associando ad ogni casella del Registro i possibili controlli (o la catena di controlli) e quindi le evidenze da reperire in modo da essere preparati.
Tutto ciò che si dichiara infatti nell’informativa, nel registro, nelle nomine, nei codici di condotta adottati, deve essere dimostrabile con evidenze documentali e/o registrazioni elettroniche, unite alla conoscenza che rende pronti nel reperire le risposte, l’accountability appunto.