Ispezioni a sorpresa in 30 grandi aziende private, scelte casualmente, ma senza sanzionare chi non è conforme al Regolamento europeo in materia di protezione dei dati personali (GDPR), pienamente, efficace dal 25 maggio scorso. Questa è la modalità scelta dall’Autorità olandese per la protezione dei dati (AP) per tracciare un primo bilancio sull’applicazione del regolamento. Al termine dell’indagine esplorativa non verranno indicati né i nomi delle società né comminate sanzioni.
Sanzioni Sì o No?
La scelta dell’Authority è discutibile sulla non somministrazione delle sanzioni, previste, invece, dal GDPR. E qualora l’AP dovesse scoprire nel corso dell’indagine, per esempio, un nuovo caso Cambridge Analytica che riguarda i Paesi Bassi o una grave violazione del regolamento cosa farebbe?
Per questo motivo il Garante Privacy italiano ha, fermamente, detto che non concederà periodi di grazia, durante il quale non sanzionerebbe le aziende che, a seguito di ispezioni, fossero inadempienti rispetto ai nuovi obblighi normativi introdotti dal Regolamento europeo. Certo, come sta facendo l’omologo olandese, anche l’Autorità italiana per la protezione dei dati personali effettua le prime ispezioni sulle grandi società: “Partiremo dalla banche, dall’Agenzia delle Entrate e le altre grandi società che gestiscono una mole importante di dati degli italiani” ha dichiarato il Garante Privacy Antonello Soro nel corso dell’audizione in Parlamento del 7 giugno scorso. “Se poi dovessimo scoprire o dovesse emergere un Data breach all’interno di una piccola e media impresa e la violazione dei dati personali dovesse riguardare un numero importante di cittadini allora le multe scatteranno anche per la PMI”, ha avvertito Soro.
Come sono state scelte le 30 grandi società nei Paesi Bassi?
L’Autorità olandese per la protezione dei dati ha composto il campione casuale delle 30 società attingendo in dieci settori privati: industria e metallo, approvvigionamento idrico, edilizia, commercio, ristorazione, organizzazione di viaggi, comunicazione, servizi finanziari, servizi commerciali e assistenza sanitaria.
Cosa sarà oggetto dell’indagine esplorativa dell’Autorità olandese?
L’Autorità olandese metterà sotto la lente d’ingrandimento la conformità a tre obblighi del GDPR:
- Il registro delle attività di trattamento
- Nomina e requisiti del Data Protection Officer (DPO)
- La DPIA, la valutazione d’impatto sulla protezione dati
Il regolamento europeo prevede che “il titolare del trattamento o il responsabile del trattamento, per dimostrare che si conforma al GDPR, dovrebbe tenere un registro delle attività di trattamento effettuate sotto la sua responsabilità”. Il registro, che contiene informazioni sui dati personali elaborati e descritto lo scopo per cui vengono trattati, è obbligatorio per tutte le aziende con oltre 250 dipendenti, e anche per le piccole se soddisfano almeno uno dei seguenti criteri:
- elaborano sistematicamente i dati, ad esempio dati sui propri dipendenti,
- elaborano dati ad alto rischio per i diritti e le libertà delle persone coinvolte,
- elaborano dati personali speciali, come dati sulla religione o sulla salute.
Sempre secondo il Gdpr i titolari del trattamento e i responsabili del trattamento sono obbligati a cooperare con l’autorità di controllo nazionale e a mettere a sua disposizione, su richiesta, il registro per monitorare i trattamenti.
DPO e DPIA
Tra gli obblighi previsti dal Regolamento generale in materia di protezione dei dati figurano anche il Data Protection Officer, il responsabile della protezione dei dati, la figura fulcro introdotta dal GDPR, ma anche la valutazione d’impatto sulla protezione dei dati (Dpia – Data Protection Impact assessment). Quest’ultimo è un processo inteso a garantire e dimostrare la conformità al regolamento europeo e i rischi legati al trattamento dei dati. La procedura è prevista dall’articolo 35 del Gdpr.
Perché la Dpia?
Perché è uno strumento importante in termini di responsabilizzazione (accountability) in quanto aiuta il titolare del trattamento non soltanto a rispettare il Gdpr, ma anche ad attestare di aver condotto misure idonee a garantire il rispetto del regolamento.
La pagina dedicata al Dpia è disponibile sul sito del Garante privacy con tutte le informazioni e linee guida ed è in continuo aggiornamento.