× MENU

Privacy: i rischi sono enormi e le sanzioni elevatissime

Privacy: i rischi sono enormi e le sanzioni elevatissime

28 Mar 2023

Antonio Starace di Antonio Starace

Privacy

Le ispezioni della Guardia di Finanza e del Garante della Privacy sono sempre più numerose e le sanzioni sempre più elevate.

Oggi non è più possibile gestire un’Azienda e uno Studio Professionale senza essere in regola con le norme relative al trattamento dei dati personali (Privacy).

Sei certo di saper gestire un’ispezione della Guardia di Finanza relativa alla Privacy?

Sei certo che la tua azienda o il tuo Studio sia in regola con le norme che riguardano la Privacy? 

Lo sai che le sanzioni potrebbero mettere in pericolo la tua attività e che la perdita di dati potrebbe creare danni irreparabili? 

Lo sai che le nuove norme ti obbligano a dimostrare di aver fatto tutto il possibile per evitare furti o perdite di dati? 

Sì. Per la legge il responsabile potresti essere proprio tu!

Tutti noi abbiamo sentito parlare del famoso GDPR.

Questo Regolamento è entrato in vigore nel maggio del 2018, cioè quasi quattro anni fa; nonostante ciò, la percentuale di aziende e studi professionali che si sono messi in regola è decisamente bassa.
È un fenomeno strano, sembra quasi che imprenditori e professionisti abbiano sottovalutato l’importanza di questo aspetto, non attribuiscono la giusta importanza.  Ma questo è un errore!

Un primo aspetto da valutare è quello relativo alle sanzioni. Il GDPR prevede sanzioni molto elevate per le violazioni commesse. Possono arrivare sino a 20.000.000,00 di euro o al 4% del fatturato prodotto.

Questo dovrebbe essere sufficiente per indurti a mettere in atto tutte le misure adeguate per “essere conforme” a quanto previsto dalle norme. Una sanzione così elevata, credo, metterebbe in difficoltà qualsiasi azienda.

Quanti problemi potrebbe crearti una sanzione così elevata? 

Come imprenditore o professionista vorresti occuparti di incrementare il tuo fatturato, ma la legge ti impone una serie di adempimenti e ti dice che devi proteggere i dati, che devi aver cura della privacy.

Come ben sai l’organismo di controllo per la privacy è il Garante, e sai anche che il Garante, per le ispezioni nelle aziende e negli studi professionali di avvale del nucleo speciale Privacy e frodi tecnologiche della Guardia di Finanza.

La domanda che ti pongo è la seguente?

Se la Guardia di Finanza dovesse accedere alla tua azienda o al tuo studio professionale saresti in grado di gestire la situazione in modo tale da non incorrere in pesantissime sanzioni?

Inoltre:

  • Sai cosa fare? 
  • Sai come rispondere ad una richiesta di informazioni?
  • Sai quale atteggiamento assumere per facilitare le operazioni di verifica?
  • Sai dove sono i documenti?
  • Sono aggiornati?
  • Gli ispettori a chi si devono rivolgere? 
  • Hai designato un referente?
  • Hai ben definito le tipologie di dati personali che tratti?
  • Hai individuato le misure di sicurezza necessarie?
  • Lo sai che oltre all’antivirus e alle copie di sicurezza (backup) devi implementare tante altre misure di sicurezza?
  • Lo sai che oltre a quelle tecniche devi implementare misure di sicurezza organizzative come Informative, manuali, lettere di nomina, registri dei trattamenti?
  • Fai corsi di formazione per te e per tutti i tuoi collaboratori?
  • Sarai in grado di far fronte alle sanzioni?
  • Lo sai che la visita ispettiva potrebbe derivare anche da un reclamo o segnalazione proposta al Garante da un tuo cliente, fornitore, dipendente o collaboratore?

Il GDPR ti impone di rispettare il principio della responsabilizzazione (lo definisce accountability). 
Questo significa che è tuo dovere quello di dimostrare con i fatti (e con i documenti) di essere conforme alla normativa sulla privacy. Ma non è sufficiente.

Devi anche dimostrare di aver implementato un Sistema di gestione o Modello Organizzativo che ti consenta di monitorare costantemente l’efficacia delle misure di sicurezza che hai introdotto per proteggere i dati personali (Privacy)

A titolo dimostrativo ti indico un esempio dei documenti che la Guardia di Finanza ti chiederà sicuramente durante una visita ispettiva:

Ora ti chiedo, sei in grado di produrre tutti questi documenti nel giro di pochi minuti?

Sì, ripeto, nel giro di pochi minuti. Perché è veramente pochissimo il tempo che ti sarà dato. La Guardia di Finanza parte dal presupposto che tu abbia tutto già pronto, magari tutti i documenti necessari inseriti in un bel raccoglitore, e quindi, pochi minuti sono più che sufficienti per dimostrare quello che hai fatto per proteggere i dati. 

Per farti comprendere quanto sia delicata e complessa la situazione in cui potresti trovarti, ti fornisco qualche informazione in più in merito all’attività ispettiva della Guardia di Finanza:

  1. Gli accertamenti ispettivi possono scaturire a seguito di segnalazioni o reclami dei soggetti interessati oppure su iniziativa del Garante, per conoscere lo stato di attuazione della normativa in determinati settori pubblici e privati;
  2. Le attività ispettive sono condotte dal Nucleo Speciale Tutela Privacy e Frodi Tecnologiche della Guardia di Finanza. Nei casi più gravi e in cui sono richieste competenze specifiche maggiori, funzionari del garante procedono personalmente alle ispezioni con o senza il supporto della GdF ed accompagnati da consulenti/tecnici;
  3. Le ispezioni possono avvenire con preavviso (di solito via pec) dal Garante o dalla GdF tramite comunicazione (spesso solo il giorno prima) ma possono anche avvenire a sorpresa. Si consiglia di formare chi controlla la PEC affinché valuti l’importanza di tale comunicazione e avverta subito i vertici, il Privacy team, il RPD/DPO in modo da prepararsi all’arrivo degli ispettori/verificatori;
  1. Al momento dell’accesso in sede, previa evidenza del tesserino di riconoscimento, l’ispettore/verificatore presenta il documento ove è indicata la richiesta di informazioni;
  2. È opportuno dotarsi di una procedura interna affinché siano avvisati i vertici dell’organizzazione e, ove possibile siano presenti. In ogni caso dovrà essere presente un referente privacy, Il RPD/DPO, ed eventuali fornitori esterni (in particolare AdSYS);
  3. Fondamentale la verbalizzazione delle attività svolte e delle dichiarazioni di cui si desidera lasciare traccia. Si suggerisce di verificare sempre la correttezza di quanto dichiarato, anche la fine di limitare i rischi di sanzioni penali;
  4. Laddove, nell’interlocuzione con gli ispettori non si sia sicuri di quanto dichiarato, è bene attendere e riservarsi di rispondere successivamente;
  5. Gli ispettori potrebbero avere necessità di prelevare copia dei documenti rilevanti ai fini della verifica (informative, contratti, policy, istruzioni, etc);
  6. In genere vengono assegnati 15 giorni (dalla notificazione della richiesta di informazioni e quindi dal primo giorno di ispezione) per l’invio di copia della documentazione richiesta. Riservarsi di inviare successivamente la documentazione piuttosto che fornirla incompleta o non aggiornata;
  7. È preferibile che per l’intero arco temporale dell’ispezione, ci sia sempre il medesimo referente in modo da coordinare i lavori e fare da punto di riferimento per gli ispettori; 
  8. Le ispezioni possono durare anche diversi giorni. A fine giornata è consigliabile che venga svolto un report interno delle attività svolte, allegando anche copia del verbale rilasciato e, ove possibile, l’oggetto dell’incontro del giorno successivo;
  9. Prendere nota di tutti i documenti (inclusi anche banche dati, archivi, software) visionati dagli ispettori e delle informazioni richieste e fornite;
  10. Dimostrarsi collaboratori e non reticenti;
  11. Rilasciare sempre informazioni veritiere e corrette (nel dubbio, non rispondere è meglio che fornire informazioni false);
  12. In caso di richiesta di informazione riservata, è consigliabile verificare di anonimizzare o cancellare le parti che non si desidera mettere a disposizione dell’Autorità (per esempio copie buste paga, certificati, etc).

Ora sei consapevole che per affrontare una visita ispettiva della Guardia di Finanza devi essere preparato a farlo?

oppure

Devi essere supportato da un consulente esperto o da un’organizzazione specializzata nell’erogazione di servizi inerenti il Modello Organizzativo Privacy.

E quindi, qual è la soluzione? 

Implementare un Modello Organizzativo per la Protezione dei Dati

Come fare per implementarlo?

Rivolgiti a consulenti privacy competenti ed affidabili. È questa la soluzione che mi sento di consigliare a tutti coloro che hanno compreso che:

Oggi non è più possibile gestire un’Azienda e uno Studio Professionale senza essere in regola con le norme relative al trattamento dei dati personali

Ti piace l’idea di farti affiancare da professionisti specializzati nel mondo fiscale e legale, sapendo già in anticipo che i costi per affidarsi a noi sono più bassi della tua immaginazione?

FISSA UNA CONSULENZA GRATUITA CONOSCITIVA E VALUTA INSIEME A NOI SE È MEGLIO LAVORARE CON UN SOLO CONSULENTE O CON UNA SOCIETÁ DI 44 PROFESSIONISTI SPECIALIZZATI.

Un solo consulente, per quanto bravo, non può far fronte a tutte le esigenze di un’impresa nei giorni nostri e di un imprenditore ambizioso, ne può intercettare tutte le opportunità che possono produrre valore per l’imprenditore e l’impresa stessa.

Per questo è nata Distriko® – Scioglie i nodi del tuo business!

Condividi questo articolo

Antonio Starace

Antonio Starace

Commercialista - Revisore Legale - Consulente Privacy - DPO

Newsletter

Iscriviti alla Newsletter

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Hai una SRL? Ti piacerebbe confrontarti con dei consulenti specializzati in crescita di impresa e fiscalità?

SCOPRI DISTRIKO®