Sono ancora molte, le aziende impreparate ad affrontare i controlli ispettivi svolti dall’Authority e dal Nucleo speciale privacy della Guardia di Finanza.
Sotto la lente dell’Autorità, in questo primo piano di ispezioni, vi sono soprattutto i trattamenti di dati effettuati da aziende e pubbliche amministrazioni che gestiscono banche dati di grandi dimensioni, le misure di protezione dei dati negli istituti di credito (specie con riferimento a segnalazioni di data breach), e i trattamenti di dati per attività di telemarketing.
Le ispezioni, svolte anche in collaborazione con il Nucleo speciale tutela privacy e frodi telematiche della Guardia di Finanza, puntano in particolare a controllare il rispetto degli obblighi di informativa, l’acquisizione del consenso nei casi previsti, il periodo di conservazione dei dati e le misure di sicurezza per la loro protezione, e tengono conto, del rispetto degli obblighi in tema di tenuta del registro dei trattamenti, di valutazione d’impatto e di designazione del Data Protection Officer.
A proposito delle attività ispettive del Garante, Nicola Bernardi, presidente di Federprivacy osserva:
“Molte aziende che dovevano conformarsi al GDPR, ma che considerano ancora la privacy e la protezione dei dati una questione meramente burocratica, si sono purtroppo affidati a software che promettono di risolvere il problema sfornando un mucchio di documenti, oppure hanno completamente demandato le attività di adeguamento a consulenti esterni, ma i manager d’impresa che finora hanno adottato questo approccio superficiale snobbando quello che è in realtà un importante tema di governance sono del tutto impreparati ad affrontare un’eventuale ispezione del Garante o del Nucleo Privacy della Guardia di Finanza, e rischiano di essere sanzionati pesantemente se non sono in grado di dimostrare in concreto di avere adottato tutte le misure tecniche ed organizzative necessarie per rispettare il Regolamento Europeo.”
Ai sensi del GDPR, il titolare del trattamento è competente a riguardo dell’osservanza dei principi del trattamento e dell’applicazione delle misure tecniche e organizzative, ed da ciò sicuramente discende un particolare onere probatorio ai fini dell’accertamento della responsabilità civile per danni nei casi di richieste di risarcimento, incombendo al titolare medesimo la prova a discarico (cosiddetta inversione dell’onere della prova).
A legislazione processuale vigente, tuttavia, non altrettanto può dirsi nel giudizio diretto all’accertamento della legittimità dell’atto irrogativo delle sanzioni comminate dall’Autorità di controllo, che possono arrivare fino a 20 milioni di euro o fino al 4% del fatturato annuo dell’impresa che si fa trovare ancora non adeguata, nonostante il Regolamento UE sia operativo ormai da oltre cinque mesi.
