L’ispezione del Garante della privacy, ovvero l’Autorità di controllo in materia di protezione dei dati personali, viene il più delle volte vissuta dalla scuola con ansia e preoccupazione.
Fondamentale è non farsi cogliere impreparati, individuando con anticipo i soggetti preposti a relazionarsi con i funzionari, e definendo con precisione i protocolli da seguire.
In questo articolo vediamo come vengono effettuate le verifiche, quali sono i documenti da predisporre, e cosa deve fare l’istituto al termine del controllo.
Le ispezioni del Garante della privacy: a sorpresa o annunciate?
Le ispezioni possono avvenire a sorpresa, o in alternativa essere annunciate dal Garante o dalla Guardia di Finanza tramite specifica comunicazione (anche con un solo giorno d’anticipo), in genere a mezzo PEC.
In quest’ultimo caso è importante che il soggetto che legge l’email agisca con tempestività, informando il prima possibile il dirigente scolastico e il DPO.
Il perimetro dell’ispezione è individuato da un documento che viene notificato al momento dell’accesso in sede.
Si tratta di una “richiesta di informazioni” per individuare le modalità con cui sono stati assolti determinati obblighi legislativi o regolamentari in materia di protezione dei dati personali.
La documentazione richiesta durante l’ispezione del Garante della privacy
Al fine di agevolare l’accesso degli ispettori al materiale, è consigliabile creare un faldone (cartaceo o digitale) in cui conservare i documenti che devono essere resi disponibili per il controllo.
In particolare sono necessari:
- Organigramma: struttura ed organizzazione dell’ente
- Distribuzione delle funzioni in materia di protezione dei dati personali
- Registro delle attività di trattamento dei dati – art. 30 del GDPR
- Nomine dei responsabili del trattamento – art. 28 del GDPR
- Nomine degli autorizzati/incaricati e relative istruzioni – art. 29 del GDPR
- Nomina dell’amministratore di sistema
- Formazione svolta per gli autorizzati al trattamento dei dati
- Nomina del Data Protection Officer – art. 37 del GDPR
- Informative rese ai sensi dell’art. 13 e 14 del GDPR e modalità con cui vengono fornite
- Registro dei “data breach” – art. 33 e 34 del GDPR
- Misure di sicurezza adottate
- Relazione della valutazione dei rischi e/o DPIA (se svolte)
- Pareri del DPO
- Privacy policy e regolamenti
- Ogni altro documento o procedura in materia di protezione dei dati personali
Come avviene l’ispezione del Garante della privacy
Una volta avviato il controllo, la scuola è tenuta a fornire assistenza all’ispettore predisponendo la documentazione richiesta.
L’esecuzione dell’obbligo di collaborazione implica il dovere di garantire l’accesso a documenti cartacei ed elettronici contenuti in PC, hard disk e in ogni altro dispositivo informatico, l’obbligo di indicare dove sono conservati i documenti d’interesse, nonché di fornire ogni informazione richiesta, indipendentemente dal fatto che il materiale sia conservato in un luogo diverso o da un soggetto diverso dal titolare del trattamento.
In ogni caso è sempre preferibile fornire una copia della documentazione e non gli originali; se invece questi fossero necessari, occorre sempre assicurarsi di possedere dei duplicati.
Altrettanto importante è verificare che non vengano presi in esame eventuali documenti non pertinenti all’oggetto dell’ispezione, sia in formato cartaceo che digitale, o che risultino eccessivi rispetto a quanto legittimamente richiesto.
A prescindere da tutto, resta comunque fondamentale stilare una lista o un elenco del materiale fornito.
Le ispezioni in genere possono avere una durata di 2 o 3 giorni.
Qualora alla sera del primo giorno l’ispezione non risulti terminata, gli ispettori provvederanno ad apporre sigilli sulle porte dei locali (che non dovranno essere in alcun modo rimossi!), dopo avere debitamente informato la scuola.
È in ogni caso consigliato fotografare i sigilli, in modo da avere la prova che non siano stati manomessi.
Ispezione del Garante della privacy: cosa avviene una volta conclusa
Una volta terminata l’ispezione è importante rivedere assieme ai funzionari la lista della documentazione consegnata, così come i commenti e le opposizioni sollevate durante il controllo.
È bene poi domandare quali documenti andranno eventualmente forniti in un secondo momento, facendo eventuali osservazioni e assicurandosi che le stesse vengano opportunamente registrate.
È quindi opportuno chiedere copia delle note scritte, comprensive delle domande fatte e delle risposte ricevute.
Prima di sottoscrivere il verbale si consiglia di leggerlo attentamente, esaminando l’effettiva correttezza di quanto dichiarato, e facendo vagliare le dichiarazioni, in modo da avere l’opportunità di verificare che non siano contraddittorie.
In ultimo, occorre effettuare una richiesta della copia del verbale, redigendo successivamente un rapporto interno relativo alle sedi e agli uffici visitati, ai dipendenti cui sono state rivolte domande, ai documenti consegnati, e alle informazioni assunte.
Il tutto per ricostruire un quadro più completo possibile della situazione.
Quest’ultimo rappresenta un “adempimento” che, per quanto non obbligatorio, appare utile al fine di ripercorrere quanto avvenuto in fase di ispezione.
È preferibile redigere il rapporto nell’immediatezza del controllo, così da non rischiare di omettere elementi che potrebbero rivelarsi importanti in un secondo momento.
Ispezione del Garante della privacy: cosa avviene dopo
Una volta ricostruito l’iter relativo all’ispezione, ed effettuato un accurato resoconto dei documenti presentati, è sempre consigliabile effettuare un audit interno completo, che comprenda anche la revisione delle informazioni fornite verbalmente dai dipendenti, al fine di individuare ed evidenziare eventuali criticità.