Con la Delibera del 22 dicembre 2021, il Garante per la Privacy ha comunicato le modalità di verifica delle aziende e le tipologie di controlli che saranno effettuati nel primo semestre 2022, in materia di privacy.
Le attività ispettive, svolte in collaborazione con la Guardia di Finanza, verificheranno la conformità al GDPR di tutti i sistemi di acquisizione, conservazione, protezione, gestione e cancellazione dei dati personali trattati dalle aziende.
I controlli riguarderanno in particolare i seguenti ambiti:
- gestione dei cookies da parte delle piattaforme e dei siti web;
- uso di sistemi di videosorveglianza, installati anche da privati;
- corretta individuazione dei titolari e dei responsabili del trattamento;
- conformità agli adempimenti previsti dal GDPR;
- acquisizione di dati personali da parte di app installate sugli smartphone;
- verifica sul corretto trattamento dei dati da parte di app diverse da Verifica C19.
Inoltre, particolare attenzione verrà posta sul:
- trattamento di dati personali da parte di fornitori di database di marketing e servizi di marketing;
- trattamento di dati personali da parte di algoritmi e intelligenza artificiale in ambito pubblico e privato.
Durante l’ispezione, verranno richieste alcune prove documentali a dimostrazione del principio di Accountability del Titolare del trattamento. Tra i documenti da produrre nel corso di un’ispezione troviamo:
- il registro dei trattamenti del Titolare del trattamento, e se del caso, anche quello del Responsabile ai sensi dell’art. 30 GDPR, anche se l’organizzazione non è tenuta a dotarsene;
- il set documentale relativo alla struttura organizzativa definita, con riferimento a funzioni, compiti e responsabilità assegnate in materia di protezione dei dati personali;
- le procedure implementate per gestire situazioni quali il verificarsi di un data breach e la ricezione di una richiesta di esercizio dei diritti da parte degli interessati;
- vari registri relativi a Violazioni di sicurezza sui dati personali;
- le informative sui trattamenti di dati personali svolti dall’organizzazione, con riferimento non solo al contenuto delle stesse, ma anche alla modalità con cui vengono rese agli interessati; la modalità di acquisizione dei consensi, ove applicabili; la valutazione dei legittimi interessi ove vi siano trattamenti basati su tale condizione di liceità;
- l’analisi dei rischi e valutazioni di impatto (DPIA) svolte, con particolare riferimento ad attività di marketing e profilazione, e le misure di sicurezza implementate in base ai rischi individuati;
- le valutazioni svolte ovvero le regole implementate per determinare i periodi di conservazione dei dati o i criteri per individuarli.
Queste sono le documentazioni da mostrare nel caso di verifica generale della conformità al GDPR, ma si sa bene che il Regolamento Europeo si basa sull’accountability del titolare e sulla sua capacità di implementare misure di sicurezza adeguate a proteggere i dati personali. Nel caso specifico di queste ispezioni, il suggerimento è aggiungere tra la documentazione da mostrare anche la seguente:
- documentazione tecnica sulle misure di cifratura o pseudonominizzazione applicate ai database dei dati personali;
- documentazione relativa alla gestione dei cookie per dimostrare che rispettano quanto richiesto nelle “Linee Guida del Garante Privacy sui cookie e gli altri strumenti di tracciamento”;
- per quanto riguarda l’attività di Videosorveglianza, è necessario aver fatto la DPIA e mostrarla durante l’ispezione;
- documentazione relativa ad una valutazione sul Trasferimento di Dati Extra-UE, qualora si utilizzino software non europei ed in particolare software americani.
Ovviamente, quelle su indicate sono solo alcune tra le diverse prove documentali che possono essere prodotte dal Titolare del trattamento.
Per maggiori informazioni contattateci senza impegno presso il nostro ufficio di Roma (RM) allo +39 3287236407 oppure alla mail info@rdconsulting.it, saremo lieti di fornire tutte le risposte che cercate!