Come vengono svolte le verifiche dall’Autorità di Controllo?

Si è tenuto presso l’osservatorio della Confcommercio – Unione per le Imprese, un interessante incontro con il colonnello Marco Menegazzo, comandante del Nucleo speciale Tutela privacy e Frodi tecnologiche della Guardia di Finanza , che ha dato chiare indicazioni di come verranno svolte le verifiche sugli adempimenti al GDPR.

Fuori da ogni speculazione di sedicenti consulenti, è chiaro che il percorso indicato sia preciso e puntuale, senza poter dare adito a dubbi su alcuni punti dibattuti negli ultimi mesi.

Ci sono stati chiarimenti precisi che, con pochi giri di parole, hanno qualificato in modo netto la visione che le aziende devono avere sulla protezione dei dati personali. Una visione non semplicemente formale, ma concreta e reale.

Il taglio netto con il passato è chiaro, non ci si aspettano più semplici adempimenti formali, ma concrete misure messe in opera dalle aziende, ovvero i Titolari del trattamento dei dati personali, che soddisfino i chiari principi del Regolamento.

C’è comunque preoccupazione da parte delle Autorità per l’articolo 168 del Codice della privacy, che prevede pene dai sei ai tre anni per chi, tra l’altro, fornisce falsa documentazione al Garante.

In modo specifico, il Comandante ha fatto riferimento al Registro del trattamento che, per noncuranza, potrebbe rilevarsi un vero tallone d’Achille quando, utilizzato tramite copia e incolla da fonti scaricate da Internet o simili, non calzerà affatto sull’azienda e se prodotto al Garante a supporto della documentazione aziendale costituirà un illecito penale. Un’altra nota importante è stata la formazione del personale che, a detta del Comandante, non può certo esaurirsi con “corsettini”, anche online, di 20 minuti senza poter dimostrare il livello di reale competenza acquisito dalla persona che lavora alle nostre dipendenze.

E’ da ricordare, in tema di formazione del personale, che non basta far firmare un pezzo di carta sul quale il dipendente/collaboratore dichiara di aver compreso quanto scritto su un piccolo manuale, perché in effetti manca da parte del Titolare del trattamento (l’azienda) la certezza che ciò corrisponda al vero, ovvero poter dimostrare la propria responsabilizzazione.
Ma come farà l’autorità ad accertarsi di una mancanza di formazione nel concreto?

Bisogna ricordarsi che le ispezioni sono sia formali che sostanziali, ovvero possono anche fare domande al collaboratore, il quale, se non ha mai nemmeno sentito parlare ad esempio di “data breach”, probabilmente farà scena muta o peggio.

I circa 11 punti indicati dal Comandante sono un’utile elenco al quale riferirsi, completati i quali l’azienda potrà certamente sentirsi più tranquilla.