Passi da seguire quando la CNIL richiede spiegazioni sul trattamento dei dati personali: rischi e raccomandazioni
Quando un'azienda riceve una lettera dalla Commissione nazionale per l'informatica e le libertà (CNIL) che richiede spiegazioni sulle sue pratiche in materia di trattamento dei dati personali, si trova ad affrontare una situazione delicata che richiede un intervento rapido, rigoroso e conforme ai requisiti della Regolamento generale sulla protezione dei dati (GDPR). Una risposta inadeguata, infatti, può portare a gravi conseguenze, tra cui sanzioni amministrative fino a 20 milioni di euro o 4 % del fatturato globale annuo (articolo 83 del GDPR). Questo articolo esamina i passaggi da seguire di fronte a tale lettera, i rischi connessi, l’opportunità di presentare una Valutazione di Impatto sulla Protezione dei Dati (DPIA), nonché i tre elementi chiave da fornire nella risposta per evitare una controversia.
1. Passi da seguire in risposta ad una lettera della CNIL
La CNIL, in qualità di autorità di controllo responsabile di garantire il rispetto delle leggi sulla protezione dei dati, può inviare una lettera alle aziende per ottenere informazioni sul trattamento dei dati personali da esse effettuato. Questa lettera può avere diverse motivazioni: un reclamo da parte di un privato, un sopralluogo programmato, oppure una verifica legata ad una segnalazione. Qualunque siano le ragioni, è essenziale trattare la richiesta con serietà e rapidità.
ha. Analizzare attentamente il contenuto della posta
Il primo passo è leggere attentamente il modulo di domanda. CNIL. La lettera può richiedere informazioni specifiche su determinati trattamenti di dati, la giustificazione della loro base giuridica, le misure di sicurezza messe in atto, o anche dettagli sulla procedure interne che consentono l'esercizio dei diritti delle persone interessate. È fondamentale capire bene cosa ci si aspetta, i tempi di risposta indicati e i documenti da fornire.
B. Creare un file completo per rispondere alla richiesta
Dopo aver individuato le informazioni richieste, dovrà essere compilata una pratica completa e documentata. Questo file deve includere:
- Il registro del trattamento dei dati (art. 30 GDPR): in questo documento sono elencati i trattamenti effettuati dalla società, le finalità di tale trattamento, le categorie di dati trattati, le basi giuridiche utilizzate, gli eventuali subappaltatori coinvolti.
- Politiche interne di protezione dei dati : consentono di dimostrare che la società ha implementato misure organizzative per rispettare i principi di protezione dei dati (minimizzazione, limitazione della conservazione, sicurezza, ecc.).
- Le misure tecniche ed organizzative adottate garantire la sicurezza dei dati, ai sensi dell’articolo 32 del GDPR, quali crittografia, pseudonimizzazione, controllo degli accessi e procedure di gestione degli incidenti di sicurezza.
C. Consultare il Responsabile della Protezione dei Dati (DPO)
Se l’azienda ha nominato un Responsabile della Protezione dei Dati (DPO), è imperativo coinvolgerlo nel processo di risposta alla CNIL. Il DPO gioca un ruolo fondamentale
assistenza negli adempimenti organizzativi e nella gestione dei rapporti con l’Autorità di Vigilanza. La sua missione comprende la supervisione del trattamento dei dati, la sensibilizzazione dei dipendenti e la consulenza sulle risposte alle richieste delle autorità. La sua consultazione è quindi garanzia di buona fede e diligenza nel contesto del dialogo con la CNIL.
2. Rischi in caso di non conformità o risposta insufficiente
Una risposta inadeguata o mancata risposta a una richiesta di spiegazioni da parte della CNIL può comportare diversi rischi per l'azienda, che vanno dalle sanzioni finanziarie alle restrizioni sul trattamento dei dati.
ha. Rischio sanzioni amministrative
L’articolo 83 del GDPR prevede sanzioni amministrative proporzionate alla gravità della violazione. Le violazioni dei principi fondamentali di protezione dei dati, dei diritti degli interessati o degli obblighi di sicurezza possono comportare multe fino a 20 milioni di euro o 4 % del fatturato annuo globale dell'azienda, l'importo più elevato verrà trattenuto.
B. Rischio di costituzione in mora o ingiunzione di conformità
Se la CNIL ritiene che il trattamento dei dati non è conforme ai requisiti del GDPR, può inviare alla società una avviso formale adempiere entro un determinato termine. In assenza di regolarizzazione, l’autorità può adottare misure coercitive come l’ingiunzione di cessare il trattamento o di limitarne le finalità.
C. Sospensione del trattamento dei dati
Nei casi più gravi, la CNIL può ordinare la sospensione temporanea o definitiva delle attività di trattamento, che possono incidere notevolmente sull'attività dell'impresa. Ad esempio, a una società di e-commerce potrebbe essere impedito di utilizzare i propri database di clienti, il che danneggerebbe direttamente le sue entrate.
3. Presentare una AIPD: quando e perché?
L’AIPD (Data Protection Impact Assessment) è una valutazione del rischio per diritti e libertà delle persone interessate dal trattamento di dati. È necessario quando il trattamento presenta un rischio elevato, in particolare nei seguenti casi:
- Profilazione su larga scala ;
- Monitoraggio sistematico di un'area accessibile al pubblico ;
- Elaborazione di categorie particolari di dati su larga scala (dati sensibili, dati sanitari, ecc.).
Se l'AIPD è stata effettuata per il trattamento in questione, si raccomanda di trasmetterla alla CNIL in risposta alla lettera. Ciò dimostra che l’azienda ha valutato a monte i rischi e messo in atto misure adeguate per mitigarli (articoli 35 e 36 del GDPR). Se non è stata effettuata alcuna AIPD, deve essere giustificato il motivo per cui il trattamento non presentava un rischio elevato giustificando tale analisi.
4. I tre elementi essenziali da fornire nella risposta per evitare contenziosi
Una risposta adeguata alla CNIL deve includere informazioni specifiche per dimostrare la conformità dell'azienda ed evitare l'escalation di contenziosi. Ecco i tre elementi chiave da fornire:
ha. Descrivere le misure di conformità messe in atto
È fondamentale dimostrare che l’azienda rispetta i principi fondamentali del GDPR (articolo 5), in particolare liceità, trasparenza, limitazione delle finalità e minimizzazione dei dati. Ciò include:
- La giustificazione delle basi giuridiche su cui si basa il trattamento (articolo 6 GDPR).
- Fornitura di informazioni agli interessati sul trattamento dei loro dati, ivi compresi i diritti di accesso, rettifica, opposizione e cancellazione (articoli da 12 a 22 del GDPR).
B. Spiegare le misure di sicurezza adottate per proteggere i dati
L’articolo 32 del GDPR impone alle aziende di attuare misure di sicurezza adeguate in base ai rischi connessi al trattamento. Nella risposta alla CNIL è opportuno:
- Dettagliare le misure tecniche e organizzative quali il controllo degli accessi, la crittografia dei dati e le procedure di gestione degli incidenti.
- Giustificare le scelte di sicurezza in relazione all’AIPD, se effettuata, o alla valutazione dei rischi.
C. Trasmettere l'AIPD o giustificarne l'assenza
Se il trattamento comporta rischi elevati, fornire una DPIA può dimostrare che l’azienda ha adottato le precauzioni necessarie. Nei casi in cui non è stata richiesta una DPIA, è essenziale spiegare le ragioni per cui il trattamento non presentava rischi sufficienti per richiedere tale analisi (articoli 35 e 36).
Insomma, la risposta ad una lettera della CNIL deve essere preparata con la massima cura, fornendo informazioni precise e motivate per dimostrare la conformità dell'azienda. Procedure di trasparenza, collaborazione con il DPO e documentazione completa delle misure poste in essere costituiscono elementi essenziali per ridurre i rischi di sanzioni e rafforzare la fiducia con l’autorità di controllo.
Una risposta ben argomentata e supportata da documenti pertinenti può essere sufficiente per convincere la CNIL della buona fede della società ed evitare costose controversie.