Dall’entrata in vigore del GDPR sono iniziati anche i controlli da parte della Guardia di Finanza per verificare che le aziende si siano adeguate al nuovo regolamento europeo ed abbiano messo in pratica tutti gli adempimenti necessari.
Nel dettaglio gli accertamenti saranno eseguiti presso istituti bancari, imprese di marketing, enti pubblici e imprese private.
Come si arriva ad essere scelti per un’ispezione?
Solitamente gli accertamenti arrivano dopo reclami o segnalazioni che l’Autorità Garante della Privacy riceve, oppure su iniziativa di quest’ultimo. L’ispezione viene affidata alla Guardia di Finanza o può essere svolta personalmente dall’Autorità Garante, con un preavviso o a sorpresa.
Quando la Guardia di Finanza arriva in azienda porta con sè un documento nel quale viene circoscritta l’area da ispezionare e presentata al DPO o Titolare dell’azienda.
Per questo occorre avere una buona organizzazione interna, al fine di poter reperire facilmente i documenti per le verifiche che il Garante chiede.
Alcuni piccoli accorgimenti da avere in queste situazioni sono :
- non rilasciare mai documentazione in originale ma solo copie;
- prendere nota di tutti i documenti (inclusi anche banche dati, archivi, software) visionati dagli ispettori e delle informazioni richieste e fornite;
- farsi rilasciare copia del verbale;
- dimostrarsi collaborativi e non reticenti;
- rilasciare sempre informazioni veritiere e corrette (nel dubbio, non rispondere è meglio che dare informazioni false).
Occorre essere quanto più preparati a questa eventualità, per questo occorre essere ben organizzati e documentati all’interno dell’azienda, ai fini di poter confermare la conformità al nuovo regolamento europeo.
Se infatti questi piccoli accorgimenti non vengono messi in atto o presi sottogamba, a seguito di un controllo l’autorità Garante può sanzionare l’azienda con multe fino a 5 milioni di euro, a cui si possono aggiungere anche sanzioni penali, con pene di libertà restrittive fino a 6 anni, per non parlare delle responsabilità civili in cui incorreranno i Titolari del trattamento e Responsabili del trattamento dei dati personali.