Ispezioni GDPR: come affrontare e superare i controlli del Garante

Avv. Paolo Mascitelli • 20 settembre 2019

GDPR: gli accorgimenti essenziali per affrontare le ispezioni del Garante Privacy, documentare le misure di accountability e gli audit interni.

Gli audit.
Dopo oltre un anno dall’entrata in vigore del GDPR, dal qualche mese sono iniziati i controlli del Garante in materia di adeguamento al Regolamento Europeo 679/2016. 
Per trovarsi pronti a superare eventuali controlli, certamente è necessario svolgere e saper documentare le attività di audit che ogni azienda dovrebbe inserire nei propri processi di compliance e risk management.
Personalmente,  durante i corsi formativi e le relazioni congressuali, ripeto spesso che questo aspetto riveste un carattere fondamentale; il GDPR infatti non prevede un adempimento una tantum, ma un sistema integrato di protocolli ed accorgimenti tecnologici ed organizzativi da implementare giorno dopo giorno e monitorare periodicamente.
Nelle aziende spesso sono proprio le verifiche sistematiche che vengono a mancare, i cosiddetti controlli di secondo o terzo livello.
Ecco perché anche in sede di ispezione da parte dei funzionari del Garante o della GDF sarà importante documentare gli audit svolti internamente. 
Ma come si imposta un audit GDPR?
Prendendo liberamente spunto dalla definizione dettata dalle Linee Guida ISO 19011 sugli audit dei sistemi di gestione, per audit di sistema si intende il processo sistematico, indipendente e documentato per ottenere evidenze dell'audit e valutarle con obiettività, al fine di stabilire in quale misura i criteri della verifica siano stati soddisfatti. 
Si giudicherà come sia stato organizzato e progettato  il sistema di gestione del trattamento dei dati, quali accorgimenti siano stati adottati per la gestione dei dati particolari e pregiudizievoli (per intenderci quelli indicati sub art. 9 e 10 del GDPR), quali protocolli siano o meno presenti per garantire il rispetto dei diritti degli interessati, le violazioni dei dati (data breach) ed i principi di minimizzazione imposti dalla riforma; una ricerca approfondita e completa per far emergere eventuali punti deboli e programmare le attività correttive/preventive (a cura del Responsabile Gestione Privacy) o da un esterno (a cura di un professionista o di un ente certificatore).
In poche parole, l'aver adottato un piano di verifiche documentate e preventive del proprio sistema di trattamento dei dati personali ha un’importanza fondamentale nel comprovare l’Accountability del Titolare del trattamento. 
Non solo; investire in compliance significa AMBIRE AD UNA GESTIONE VIRTUOSA  dell’organizzazione, capace di aumentare l’efficienza, l’efficacia e la competitività di un’azienda, assecondando le aspettative dei propri stakeholders,
I risultati e l’esito devono essere documentati attraverso un report e classificati come: 
  • non conformità;
  • osservazioni/opportunità di miglioramento
  • commenti
  • raccomandazioni.
Il report deve contenere o richiamare le modalità per correggere/colmare le carenze rilevate.
Sottolineo con forza che il fatto che Implementando un sistema di audit GDPR di secondo livello, in outsourcing, si "allena" l'organizzazione ad affrontare e superare con successo le eventuali verifiche ispettive.

Ecco allora alcuni semplici suggerimenti per affrontare e "vincere" il rischio di rilevazione di non conformità in sede di audit o peggio di infrazioni alla legge e conseguenti sanzioni amministrative e penali all'esito di verifiche ispettive.
  • Aver adottato, aggiornato e sottoscritto (con data certa) il registro dei trattamenti (art. 30 GDPR). Questo documento è fondamentale perchè individua e mappa tutta la mole e la natura dei dati trattati dall'organizzazione, classificandoli per finalità omogenee, con indicazione "sintetica",  delle misure di sicurezza adottate per gestirli e proteggerli in modo adeguato. 
  • Aver nominato e comunicato al Garante il DPO o, in difetto, effettuare una relazione/autodichiarazione attestante la non necessarietà della sua presenza.  Alcune azienda si sono "precipitate" a nominare DPO "interni", senza specifica competenza od esperienza in materia. Ricordo che in realtà il DPO dovrà essere molto preparato sia in termini di normativa sia in termini di procedure aziendali, sarà lui infatti ad essere convocato in prima battuta dal garante per dare le spiegazioni del caso. 
  • Verificare e relazionare per iscritto se sia necessaria o meno, in funzione della normativa, una valutazione di impatto (DPIA) rispetto ai trattamenti effettuati dall'azienda. 
  • Aver adottato un sistema di trattamento dati e misure tecniche ed organizzative  che, "tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche" abbia la capacità di "assicurare su base permanente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento; la capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati personali in caso di incidente fisico o tecnico (per maggiore semplificazione, è necessario dimostrare di avere: sistema di autorizzazioni-di istruzioni-di gestione psw-di mezzi di protezione fisica e logica sui server ed end point-antivirus- backup-disaster recovery......) 
  • Aver adottato un sistema di informative adeguato, semplice, completo, verso tutti gli interessati (clienti/dipendenti/fornitori/visitatori sito/candidati/acquirenti on line etc etc), in regola col principio di trasparenza.
  • Saper comprovare di aver raccolto e conservato i moduli di consenso informato rispetto ai trattamenti che lo richiedano (newsletter/marketing/trasferimento extra UE dei dati/dati ex art. 9 GDPR raccolti per finalità su cui non vi sia già un'autorizzazione/provvedimento del Garante che ne riconosca la liceità a prescindere dal consenso, etc).
  • Avere una gestione chiara dei data breach che preveda tutto l’iter comunicativo e le azioni da adottare.
  • Avere un piano formativo adeguato per tutte le persone coinvolte nei vari trattamenti, con la certezza delle verifiche in modo che si sia accertata la reale preparazione del personale addetto.
  • Aver nominato per iscritto tutti i soggetti incaricati di elaborare dati per conto dell'organizzazione, secondo standard contrattuali ritenuti esaustivi e conformi al dettato normativo (art. 28 GDPR).
  • Aver implementato protocolli per pseudinimizzazione/cifratura dei dati particolarmente pregiudizievoli e politiche omogenee sulla loro conservazione.
Ad ogni organizzazione corrisponde un diverso sistema integrato per una corretta gestione e protezione dei dati personali e quindi, per chi non lo avesse già fatto, è doveroso avviare subito un percorso di mappatura, progettazione ed attuazione di un sistema di gestione dei dati customizzato e strutturato secondo compatibilità economiche,  natura dei dati e peculiarità strutturali sia in termini di risorse che di mezzi.

Ovviamente il nostro Studio è a disposizione per qualsiasi chiarimento e supporto.

Avv. Paolo Mascitelli

Sharenting: cos'è e quali sono le misure di protezione per i minori

Autore: Avv. Veronica Luperini 2 novembre 2023
Il termine "sharenting" si riferisce alla pratica dei genitori di condividere costantemente contenuti online riguardanti i propri figli, come foto, video e ecografie. Questo neologismo deriva dall'unione delle parole inglesi "share" (condividere) e "parenting" (genitorialità). La pubblicazione in rete delle foto/video dei propri figli può comportare numerosi rischi che minacciano la privacy e la sicurezza dei minori tra cui: violazione della privacy e della riservatezza dei dati personali anche sensibili; mancata tutela dell’immagine del minore che a causa della permanenza in rete e dell’inevitabile perdita di controllo da parte dei genitore sul contenuto postato può essere utilizzata per fini impropri da parte di terzi (es. pedopornografia, ritorsioni etc); ripercussioni psicologiche sul minore rischiando di ritrovarsi con un'identità digitale costruita su immagini di cui non ha dato il proprio consenso, rischio di adescamento da parte di malintenzionati che possono sfruttare dati ed abitudini dei minori esposti online. Incremento episodi cyberbullismo E’ importante prestare attenzione quando si decide di pubblicare tali contenuti e seguire i suggerimenti forniti dal Garante della privacy tra cui: ✔️rendere irriconoscibile il viso del minore (ad esempio, utilizzando programmi di grafica per "pixellare" i volti) ✔️coprire i volti con una “faccina” emoticon; ✔️limitare le impostazioni di visibilità delle immagini sui social network solo alle persone che si conoscono o che siano affidabili e non le condividano senza permesso nel caso di invio su programma di messagistica istantanea; ✔️evitare la creazione di un account social dedicato al minore; ✔️leggere e comprendere le informative sulla privacy dei social network su cui carichiamo le fotografie.

Adeguatezza del salario: le ultime sentenze

Autore: Paolo Mascitelli 30 ottobre 2023
La retribuzione minima stabilita da un contratto collettivo nazionale sottoscritto dalle organizzazioni sindacali maggiormente rappresentative non basta a garantire il rispetto del principio di sufficienza e proporzionalità dettato dall’articolo 36 della Costituzione. La Corte di cassazione ha stabilito che anche in presenza di un accordo collettivo, spetta in ogni caso al giudice il potere di valutare la congruità del salario minimo stabilito dalle parti sociali, mediante una verifica costituzionalmente orientata di tale misura. Dalla "corretta lettura" dell’articolo 36 della Costituzione, infatti, la Corte giunge a ricavare il principio secondo cui ciascun lavoratore ha diritto a una retribuzione proporzionata alla quantità e qualità del suo lavoro e in ogni caso sufficiente ad assicurare a sé e alla sua famiglia un’esistenza libera e dignitosa. Secondo la Corte (sentenze 27711 e 27769 del 2 ottobre 2023) l'articolo 36 della Costituzione evidenzia due diritti distinti ma interconnessi: il diritto a una retribuzione " proporzionata " in base alla quantità e qualità del lavoro e il diritto a una retribuzione " sufficiente" che assicuri una vita dignitosa per il lavoratore e la sua famiglia. La valutazione della congruità del salario minimo diventa, quindi, una valutazione flessibile dipendente dal contesto economico e sociale in evoluzione. La Corte ha introdotto un nuovo punto di vista sostenendo che per determinare il salario minimo non si debba considerare solo la soglia di povertà assoluta calcolata dall'Istat ma anche i concetti di sufficienza e proporzionalità. La Corte fa riferimento alla direttiva dell'Unione Europea sui salari adeguati che incoraggia gli Stati membri a garantire non solo i bisogni essenziali ma anche la partecipazione a attività culturali, educative e sociali. La valutazione che il giudice è chiamato a svolgere in merito alla congruità del salario minimo è dunque una valutazione fluida , dipendente dal contesto economico in evoluzione e non cristallizzata in parametri intangibili. Secondo gli Ermellini, quindi, si deve garantire al lavoratore una vita non solo non povera, ma anche dignitosa. In questo senso la Corte fa espresso riferimento alla recente direttiva Ue sui salari adeguati (n. 2022/2041) che sprona gli Stati membri a dotarsi di legislazioni nazionali orientate a garantire non solo il soddisfacimento di meri bisogni essenziali (quali cibo, alloggio, e così via) ma anche la legittima partecipazione ad attività culturali, educative e sociali. La direttiva Ue propone alcuni parametri per adeguare il salario minimo, come il potere d'acquisto dei salari rispetto al costo della vita e la distribuzione dei salari. Questo rappresenta un cambiamento rispetto alla precedente giurisprudenza che si concentrava su parametri come l'indice Istat di povertà o l'importo della Naspi o del reddito di cittadinanza. La Corte di Cassazione invita a valutare con prudenza gli scostamenti dalla contrattazione collettiva, ma le recenti sentenze rischiano di creare incertezza , passando dalla certezza dei contratti collettivi a un potenziale eccesso di discrezionalità nelle aule di tribunale. La massima: "Il giudice può discostarsi dal Contratto collettivo Il giudice deve fare riferimento innanzitutto alla retribuzione stabilita dalla contrattazione collettiva nazionale di categoria, dalla quale può tuttavia motivatamente discostarsi, quando la stessa entri in contrasto con i criteri normativi di proporzionalità e sufficienza della retribuzione dettati dall’articolo 36 della Costituzione. Per la determinazione del giusto salario minimo il giudice può usare come parametro la retribuzione stabilita in altri contratti collettivi di settori affini e può fare altresì riferimento a indicatori economici e statistici, anche secondo quanto suggerito dalla direttiva Ue 2022/2041 del 19 ottobre 2022. Cassazione civile, sez. lavoro, 2 ottobre 2023 n. 27711 e n. 27769" Di altro avviso è il Tribunale di Milano che invece richiama espressamente la "prudenza" nel discostarsi dal salario indicato dal CCNL leader: "Ove la retribuzione prevista nel contratto di lavoro risulti inferiore alla soglia minima di sufficienza in base all’articolo 36 della Costituzione, il giudice adegua la retribuzione secondo i criteri costituzionalmente garantiti, con valutazione discrezionale. Ove però la retribuzione sia prevista da un contratto collettivo, il giudice è tenuto a usare tale discrezionalità con la massima prudenza, cura e attenzione e comunque con adeguata motivazione, giacché difficilmente è in grado di apprezzare le esigenze economiche, politiche e sindacali sottese all’intero assetto degli interessi concordato dalle parti sociali nel confronto che porta alla stipulazione del contratto collettivo. Tribunale di Milano, Sezione Lavoro, 21 febbraio 2023 

Responsabilità 231 e la colpa di organizzazione quale elemento costitutivo dell'illecito dell'ente

Autore: Paolo Mascitelli 14 marzo 2023
La Cassazione torna a chiarire il "fenomeno" della colpa d'organizzazione rilevante ai sensi della punibilità dell'ente ex D.Lgs 231

Cassazione: responsabilità amministrativa ex D.lgs 231/01 per reati in materia di SSL. RSPP non è soggetto apicale

Autore: PAOLO MASCITELLI 21 dicembre 2022
C orte di Cassazione , Sezione 4 , Penale , Sentenza 21 settembre 2022  n. 34943

Google Analytics e GDPR: le imprese chiedono chiarezza

Autore: Paolo Mascitelli 17 novembre 2022
Alla ricerca di una soluzione al problema di conformità.

Giusto licenziare la cassiera che carica i punti dei clienti sulla propria carta.

Autore: Paolo Mascitelli 12 maggio 2022
Secondo la Cassazione n. 14760/22 è l egittimo il licenziamento della cassiera di un supermercato che per vincere i premi "cd fedeltà" carica i punti sulla propria carta, quando i clienti abbiano dimenticato o non abbiano proprio la tessera. Il caso A fronte del licenziamento disciplinare subito per i fatti in premessa, la dipendente assumeva a propria difesa la propria estraneità, deducendo che negli orari e nei giorni in cui risultavano eseguiti i fatti, ella si era alzata dalla propria postazione. I giudici di merito respingevano l'impugnazione, facendo gravare sulla dipendente l'onere della prova esimente, ritenendo già comprovata in via documentale la prova della giusta causa, in quanto tale fatto di per sé mina alla radice il rapporto fiduciario anche in ottica futura. Approdati dinanzi al giudice di legittimità, la Cassazione ha concluso per la legittimità della sanzione in funzione anche degli obblighi aziendali discendenti dal particolare rapporto di lavoro esistente tra le parti.T 

Compenso al professionista dovuto anche senza uno specifico incarico sottoscritto

Autore: Paolo Mascitelli 22 febbraio 2022
Qualsiasi forma idonea a manifestare, chiaramente ed inequivocabilmente, la volontà di avvalersi dell'attività e dell'opera del professionista integra il presupposto necessario per dimostrare la debenza del compenso.

Per ottenere il risarcimento è necessario provare che l'assenza di segnaletica stradale ha causato l'incidente con l'animale selvatico

Autore: Paolo Mascitelli 26 marzo 2021

Escluso il mantenimento se le indagini difensive del marito provano che la ex moglie lavora al nero, in piena capacità fisica e continua a prestare servizio dopo aver dato dimissioni formali al datore

Autore: Paolo Mascitelli 3 marzo 2021
La Cassazione con ordinanza 5077/2021 rigetta il ricorso della ex moglie ed esclude il diritto all'assegno di divorzio, ribadendo le motivazioni già affermate dai giudici di secondo grado. Le indagini difensive del marito erano infatti in grado di fornire prova del fatto che la donna, nonostante le dimissioni formali al proprio datore di lavoro, continuava a prestare di fatto servizio nello studio professionale. Inoltre i problemi di salujte accusati dalla donna quali impedimenti per costituire forza lavoro autonoma e garantirsi un impiego, non si dimostrano fondati in quanto risulta essere nelle piene capacità lavorative.
Show More