Privacy, sanzioni e controlli con il GDPR: a spiegare come saranno le nuove ispezioni è stato Marco Menegazzo, comandante del Nucleo Speciale Privacy della Guardia di Finanza intervenuto durante il Privacy Day Forum del 25 maggio 2018.
Da sempre, Guardia di Finanza e Autorità Garante collaborano tramite attività ispettive e di controllo per la tutela della privacy; il vecchio Codice della Privacy e le sue regole, la “check list” e l’attività di pura compliance saranno totalmente superate con il GDPR a partire dal 25 maggio 2018.
Se prima i controlli sulla privacy si basavano su una serie di domande e su una lista di controlli ai quali, in caso di violazioni, seguivano sanzioni dai 150 ai 300.000 euro, i nuovi controlli della Guardia di Finanza basati sulla riforma della privacy introducono importanti novità.
“Sugli obblighi imposti dal GDPR, i controlli della Guardia della Finanza partiranno da subito e in tal senso, sottolinea Menegazzo, è del tutto irrilevante ai fini di accertamento la pubblicazione del decreto di adeguamento che dopo la proroga della delega è stato prorogato fino al 21 agosto 2018.”
Partiranno da subito, ad esempio, i controlli sulla nomina del DPO, adempimento in scadenza il 25 maggio 2018 ma non solo.
Cosa cambia con il GDPR, quali saranno i controlli e come saranno applicate le sanzioni? Ecco l’intervento del Comandante del Nucleo Speciale della Guardia di Finanza durante il Privacy Day Forum organizzato da Federprivacy il 25 maggio 2018.
Parla la Guardia di Finanza – In sede ispettiva sarà fondamentale il concetto di accountability, responsabilizzazione: in fase di controllo l’azienda o il professionista dovrà dimostrare con ragionamento logico e tramite prove cosa è stato fatto e cosa non, dimostrando i perché del mancato adempimento (mancata nomina DPO, mancata tenuta del Registro). Anche la scelta di non fare una determinata cosa potrà essere legittimata, ma in ogni caso dovrà essere dimostrata. In sede di controllo bisognerà rendere conto alla Guardia di Finanza delle misure messe in atto per il rispetto del GDPR.
Non soltanto bisognerà trattare i dati secondo le regole previste dal GDPR ma bisognerà dimostrare di esser consapevoli delle modalità di trattamento e di conservazione degli stessi.
I titolari del trattamento dei dati dovranno render conto in maniera responsabile di quanto fatto.
Nello specifico, le ispezioni partiranno da subito sugli adempimenti obbligatori e fondamentali per l’adeguamento al GDPR:
– Nomina del DPO, il responsabile della protezione dati;
– Controlli sulle misure previste in caso di data breach (da intendere non come situazioni estreme ma come tutti quei casi di perdita accidentale e occasionale di dati, come il furto di un pc, di un hardisk e via di seguito);
– Registro dei trattamenti: sarà la base dell’attività ispettiva, il punto dal quale la Guardia di Finanza partirà per valutare le misure per la tutela della privacy messe in atto.
Il ruolo centrale del DPO nelle attività di controllo
Alla base dei nuovi controlli vi è la capacità per l’impresa o il professionista di saper render conto delle valutazioni fatte. In tal senso sarà centrale il ruolo del DPO, il responsabile della protezione dati mentre non è stato chiarito come saranno i controlli sulla privacy nelle PMI in cui non è obbligatoria la nomina.
L’attività ispettiva della Guardia di Finanza sarà varia: o sulla base dei programmi messi a punto dal Garante della Privacy, che di norma dispone due programmi annuali, ovvero potranno esser attuate dopo una segnalazione o un reclamo (fatta da lavoratori, utenti, clienti, sindacati ecc).
L’attività di controllo sarà slegata da una check list ma dovrà esser effettuata una constatazione con l’acquisizione di una serie di elementi.
Sanzioni privacy: dalla GDF solo valutazioni, a scegliere sarà il Garante
Non sarà la Guardia di Finanza ad applicare le sanzioni in caso di violazione delle regole sulla privacy. L’attività ispettiva dovrà essere effettuata di modo da accertare il rispetto dei principi di tutela stabiliti dal GDPR.
Se il Garante dovesse ritener necessaria l’applicazione della sanzione, saranno gli elementi raccolti durante le ispezioni a garantire che questa possa esser applicata in maniera effettiva, proporzionata e dissuasiva.
Le sanzioni saranno applicate sulla base dei principi stabiliti dal GDPR, in coordinato con lo schema di decreto legislativo approvato in CDM il 21 marzo 2018 per il quale, tuttavia, si attende ancora l’approvazione definitiva.