L’accountability Gdpr (il nuovo Regolamento europeo sulla protezione dei dati personali) implica una serie di aspetti legati alla capacità aziendale e all’affidabilità nel momento in cui si ha una specifica responsabilità nella gestione dei dati personali. Quando il Garante della Privacy effettua in una azienda delle ispezioni allo scopo di accertarsi che i dati vengano trattati in compliance con il Gdpr, bisogna sempre farsi trovare pronti e in regola con quelle che sono le normative vigenti in materia.

Le verifiche Gdpr possono essere effettuate dopo una segnalazione (o reclamo) di parte, oppure d’ufficio, attraverso dei controlli semestrali che si svolgono o presso la sede dell’Autorità o negli uffici del titolare dell’azienda coinvolta nell’ispezione.

Se tali disposizioni non dovessero essere accolte dal titolare dell’azienda, si andrà incontro a pesanti sanzioni amministrative (fino a 20 mila euro o il 4 per cento del fatturato) o penali fino a tre anni di reclusione per chi dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi, e fino a un anno di reclusione per chi provoca intenzionalmente una interruzione o turba l’esecuzione del procedimento.

Nel corso del controllo Gdpr il Garante verifica:

• se nell’azienda vi siano uno o più titolari
• la conformità del Registro dei trattamenti (da aggiornare regolarmente)
• la presenza di un Dpo (responsabile per la protezione dei dati)
• le indicazioni fornite al personale autorizzato e l’osservanza delle stesse
• la presenza dei responsabili con relative nomine
• le misure di sicurezza attuate
• l’adesione a certificazioni e codici di condotta
• l’applicazione dei principi di privacy by design (il principio di incorporazione della privacy a partire dalla progettazione di un processo aziendale) e by default (quando le aziende devono trattare solo i dati personali nella misura necessaria e sufficiente per le finalità previste)
• le modalità di gestione delle violazioni con la conseguente compilazione di uno specifico registro.