L'Attività ispettiva di iniziativa curata dall'Ufficio del Garante, segue periodi semestrali e un piano operativo debitamente pubblicato sul sito del Garante stesso [da ultimo doc. web 9147297], e viene effettuata anche in collaborazione con il Nucleo Speciale Tutela Privacy e Frodi Tecnologiche, del Corpo della Guardia di Finanza.
La sinergia tra G.d.F e Garante Privacy deriva dal Protocollo d'Intesa, siglato il 10 marzo 2016 che tratta, tra l'altro, dell'esecuzione di ispezioni su delega dell'Autorità Garante, della partecipazione a ispezioni congiunte e dell'individuazione di soggetti da proporre quali destinatari delle ispezioni (c.d.: controlli a campione).
Tale attività ispettiva è prevista e disciplinata al Capo III - Accertamenti e controlli - del Codice privacy, in particolare gli artt. 157 (richiesta di informazioni e documenti) e 158 (accertamenti) del D.lgs. 196/2003.
Seppur è vero che tra i soggetti destinatari dei controlli a campione non rientrano né i Condomini né gli amministratori, è pur vero che tale attività diviene obbligatoria ex officio laddove venga depositato un reclamo da parte degli interessati (condòmini) e può anche avviarsi laddove il Garante riceva una segnalazione da parte di chiunque, quindi anche i non condòmini (come ad esempio professionisti concorrenti o il passante che vede il cartello per la videosorveglianza non conforme alla normativa).
Avviato il controllo, occorre considerare il comportamento che terranno gli organi ispettivi i quali, preme evidenziare, effettueranno una valutazione di natura dinamica, andando a determinare se il titolare del trattamento sia compliant nel senso di "conforme al principio di accountability".
Così, per esempio, se dall'attività ispettiva emerge la mancata adozione di una "misura" di protezione dei dati personali (per esempio, la pseudonimizzazione del dato) tuttavia, non automaticamente ne scaturirà la contestazione e la sanzione.
Determinante è, invece, la condotta del titolare del trattamento sottoposto al controllo il quale, ottemperando al principio di accountability, dovrà fornire la dimostrazione che, sulla base della ricostruzione delle procedure tecniche e organizzative, la mancanza riscontrata non è dipesa da un inadempimento, bensì dal legittimo risultato di una attenta (e scritta) valutazione.
Dirimente pertanto, in fase di ispezione, è la capacità dell'amministratore di saper dare conto delle scelte operate e delle decisioni applicate e di avere effettuato una concreta e realistica analisi e valutazione dei rischi.
Di nuovo un parere del Garante che pone un altolà rispetto alla fatturazione elettronica
Deve considerarsi che i poteri ispettivi del Garante consentono l'accesso a banche dati e archivi nei luoghi in cui si svolge il trattamento o anche in quelli in cui è necessario effettuare verifiche utili al controllo del rispetto della normativa sul trattamento dei dati personali.
Inoltre, gli ispettori potrebbero chiedere al titolare e al responsabile, ma anche all'interessato o a terzi, di fornire informazioni o di esibire documenti in relazione a banche dati (e quindi informazioni ad esempio a sub-fornitori nominati o alla società proprietaria del gestionale che lavora in CLOUD).
Da non sottovalutare poi che, ai sensi dell'art. 158, co. 4, del D.Lgs 196/2003 (Codice privacy), se l'ispezione disposta dal Garante deve svolgersi in una abitazione, perché l'amministratore esercita la propria attività nella sua dimora, è necessario "l'assenso informato del titolare o del responsabile, oppure previa autorizzazione del presidente del tribunale competente per territorio in relazione al luogo dell'accertamento, il quale provvede con decreto motivato senza ritardo, al più tardi entro tre giorni dal ricevimento della richiesta del Garante quando è documentata l'indifferibilità dell'accertamento".
In quest'ultimo caso, all'amministratore dovrà essere rilasciata una copia del provvedimento di autorizzazione del Tribunale.
L'accertamento non può essere iniziato prime delle ore sette e dopo le ore venti salvo diversa disposizione del decreto del presidente del Tribunale.
In caso di rifiuto all'ispezione da parte dell'amministratore, gli accertamenti sono comunque eseguiti e le spese sono poste a carico del titolare con il provvedimento che definisce il procedimento.
È bene evidenziare anche che le ispezioni possono avvenire a sorpresa oppure, in alcuni casi, a seguito di avviso del Garante o della Guardia di Finanza che ne possono dare comunicazione tramite posta elettronica, anche solo il giorno prima del sopralluogo.
Può anche capitare che lo studio di amministrazione riceva la sola richiesta di informazioni da parte dell'Autorità, senza l'immediata previsione di una successiva attività di ispezione.
In questi casi è fondamentale rispondere nei tempi richiesti e in maniera esaustiva alla richiesta di informazione formulata dell'Autorità Garante che, di per sé, laddove esaustiva, può evitare che si realizzi un'attività ispettiva.
Ecco i principi base da seguire per l'adeguamento
