GDPR e ispezione della Guardia di Finanza: ecco come è andata!
Un nostro cliente ha avuto recentemente un controllo ispettivo da parte della Guardia di Finanza per verificare le procedure di gestione dei dati personali raccolti dal sito, l’applicazione della legge sui cookies e in generale verificare la sicurezza, dal punto di vista della gestione dei dati, dell’infrastruttura digitale interna ed esterna all’azienda.
GDPR, dalla teoria alla verifica sul campo
E’ stata questa un’esperienza sicuramente utile e formativa per la nostra web agency, in quanto abbiamo potuto appurare “sul campo” quali siano considerati dal Garante gli aspetti più delicati ed importanti nella gestione dei dati personali, a carico delle aziende.
Non possiamo ovviamente scendere nei dettagli della verifica fatta dalla Guardia di Finanza ma sicuramente potremo sfruttare l’esperienza e adattare gli insegnamenti alla vostra realtà, anche insieme all’avvocato presente all’ispezione.
In questo articolo vi diamo quindi alcune indicazioni utili, derivate dalla nostra esperienza, per un approccio corretto alla materia trattata dal GDPR.
Controllare la PEC e rispondere alle richieste, ovviamente!
Innanzitutto, prestate sempre attenzione alla vostra casella PEC: infatti, nel caso in oggetto, era stata inviata una prima comunicazione da parte del Garante che invitava il nostro cliente a prendere posizione su alcune richieste specifiche in materia di trattamento dei dati personali.
Non essendo giunta alcuna risposta nel termine stabilito, ovvero 30 giorni entro la ricezione dell’invito - dovuto ad un problema amministrativo da parte del personale - il Garante ha dovuto procedere di conseguenza, richiedendo appunto l’intervento del Nucleo Privacy.
Gestione dei Cookies. Newsletter. Tempistiche di cancellazione dei Dati
Fin dall’inizio del controllo è apparso chiaro come l’indagine fosse principalmente mirata ad aspetti di protezione dei dati personali a livello della manutenzione e gestione del sito internet aziendale.
Il nostro cliente, infatti, vende molti prodotti tramite il proprio sito internet, da noi gestito ed aggiornato; inoltre, effettua attività promozionale e di invio di newsletter, altro aspetto molto delicato e attenzionato dagli organi di vigilanza in materia di Privacy.
Nel dettaglio sono state effettuate delle prove di accesso al sito, simulando ipotetici acquisti di prodotti, al fine di valutare come i dati personali venissero trattati.
La gestione dei cookies presente sul sito è stata ritenuta idonea e completa, così come la Privacy Policy e la Cookie Policy in calce allo stesso.
Vi è stata ampia discussione solo su un punto, ovvero la tenuta degli indirizzi e-mail (che, si ricorda, sono dati personali) in caso di cancellazione dalla Newsletter; alla conclusione del dibattuto confronto, è stato comunque stabilito che è sì lecito conservare per motivi tecnico/informatici le caselle e-mail di chi si è disiscritto, ma chiarendo sempre preventivamente agli utenti le tempistiche e le motivazioni nelle relative informative.
Profilazione? DPO obbligatorio
Altro punto secondo noi molto interessante, è stato quello relativo alla nomina del DPO (ovvero, Data Protection Officer), su cui va fatta particolare attenzione.
Il nostro cliente inoltre non effettua al momento alcuna profilazione, anche se è sua intenzione a breve attivarla.
Ecco, proprio questo punto è da considerarsi fondamentale: il Garante della Privacy, in caso appunto di profilazione - e a prescindere dal numero dei dati personali trattati, che potrebbero anche essere esigui - ritiene che scatti automaticamente l’obbligo di nomina del DPO.
Contratti di nomina dei responsabili del trattamento dati. Informative. Formazione del personale
Per il resto, sono stati richiesti al nostro cliente i contratti di nomina dei responsabili esterni ex art. 28 del GDPR - tra cui il nostro, in qualità di fornitori dei servizi di attivazione, implementazione e manutenzione del sito internet aziendale - nonché le informative cartacee e le prove dell’avvenuta formazione del personale, espressamente richiesta dal Reg. Ue n. 679/16 e che aveva eseguito il legale già sopra richiamato.
Conclusione dell'ispezione del Nucleo Privacy
Quel che però più ha dato enorme soddisfazione alla nostra azienda, è che – dopo tre intensi giorni di intervento della Guardia di Finanza – la relazione da quest’ultima redatta ha convinto il Garante ad archiviare la posizione pendente, evitando quindi sanzioni nei confronti dell'azienda nostra cliente e, soprattutto, avvalorando il lavoro da noi eseguito e ritenendolo esaustivo e tecnicamente corretto.
Quindi, concludendo, invitiamo a verificare la vostra politica nella gestione dati personali e in generale la compliance rispetto al GDPR, anche in tema di gestione del sito internet; in caso di dubbi, siamo a disposizione per un’analisi di adeguamento al GDPR e per la la successiva redazione di un piano di intervento efficace e completo, anche alla luce delle indicazioni direttamente pervenute dal Garante della Privacy nel caso sopra esplicato ed alla relativa esperienza maturata sul campo.