DOMANDA: Ispezioni del Garante: come preparare l'azienda e gestire il verbale

Risponde Alessandro Papini

La preparazione a un'ispezione del Garante non inizia al momento della notifica, ma si fonda su un approccio proattivo e costante al principio di accountability. Un'azienda matura deve aver già implementato un solido modello organizzativo privacy, con documentazione sempre aggiornata, come il registro dei trattamenti e le valutazioni d'impatto (DPIA). È fondamentale che il personale sia formato e consapevole delle procedure. Il ruolo del DPO, ove nominato, è cruciale nel coordinare le attività preparatorie e nel fungere da interfaccia con l'Autorità, dimostrando collaborazione e trasparenza, non un atteggiamento ostruzionistico.

L'approfondimento: Cosa fare concretamente al momento dell'arrivo degli ispettori?

Al momento dell'accesso ispettivo, è vitale mantenere la calma e seguire una procedura definita. La prima azione è identificare il personale ispettivo e verificare il provvedimento di incarico. Immediatamente dopo, vanno avvisati i vertici aziendali e il Responsabile della Protezione dei Dati (DPO). È buona prassi destinare una sala riunioni riservata agli ispettori e designare una o due figure aziendali, tipicamente coordinate dal DPO, come unici referenti per la gestione delle richieste. Questo evita la diffusione di informazioni frammentarie o errate e centralizza la raccolta della documentazione, assicurando coerenza e controllo sul flusso informativo.

Il dettaglio normativo: Quali sono i poteri ispettivi del Garante e della Guardia di Finanza?

I poteri ispettivi del Garante sono definiti dall'Art. 58(1) del GDPR e dal Codice Privacy (D.Lgs. 196/2003, come novellato dal D.Lgs. 101/2018). L'Autorità può esercitare tali poteri direttamente o avvalendosi del Nucleo Speciale Privacy e Frodi Tecnologiche della Guardia di Finanza. Gli ispettori possono accedere a tutti i locali dell'impresa, acquisire documenti anche in formato elettronico, e richiedere informazioni a chiunque sia presente. Tutte le operazioni svolte vengono annotate nel verbale di operazioni compiute, un documento fondamentale che il titolare ha diritto di ricevere in copia e sul quale può far inserire proprie dichiarazioni. È un atto cruciale per l'eventuale successiva difesa.

Se sei un consulente privacy, DPO o semplicemente un appassionato della materia iscriviti ad AIP ed avrai molti vantaggi e la possibilità di confrontarti con un network di professionisti italiani.