Gli accertamenti ispettivi dell'autorità di controllo (Garante della privacy), previsti dall'art. 58 del Regolamento Europeo in materia di protezione dei dati personali (G.D.P.R.), vengono fissati sulla base di un piano di controlli stabilito con provvedimento del Garante o sono comunque svolti in seguito a reclami e segnalazioni dei soggetti interessati.
Attraverso il piano semestrale, il Garante individua i settori, pubblici e privati, che saranno oggetto di controlli a campione, al fine di verificare che i trattamenti effettuati rispettino le disposizioni del G.D.P.R.
Le verifiche sono eseguite avvalendosi della collaborazione del Nucleo Speciale "Tutela Privacy e Frodi Tecnologiche" della Guardia di Finanza, o possono essere condotte da funzionari del Garante, con o senza GdF, nei casi in cui siano richieste competenze specifiche. Generalmente, laddove l'ispezione sia condotta in prima persona da funzionari del Garante, è verosimile che l'Autorità consideri la situazione già potenzialmente violativa delle disposizioni in materia di privacy.
A differenza del passato, non è previsto che la GdF possa elevare sanzioni in fase di accertamento ma solo comunicare al Garante l'esito delle verifiche; sarà poi l'autorità a decidere nel merito.
Le ispezioni possono avvenire "a sorpresa", anche se di solito vengono "annunciate" al titolare, mediante pec o comunicazione telefonica, un giorno prima, per permettere al Titolare di farsi trovare all'appuntamento, se del caso facendosi assistere dal settore legal o compliance della sua organizzazione.
Mediamente l'accertamento può durare 2-3 giorni e non può essere svolto prima delle ore sette e dopo le ore venti.
Nel momento di accesso alla sede del Titolare, la GdF notifica il documento di "richiesta informazioni" del Garante, in sostanza richiedendo l'accesso a tutti i dati e le informazioni necessarie per l'esecuzione dei suoi compiti di verifica.
Secondo il disposto dell'art. 158 del D. Lgs 196/2003 novellato, Il Garante può disporre accessi a banche di dati, archivi o altre ispezioni e verifiche nei luoghi ove si svolge il trattamento o nei quali occorre effettuare rilevazioni comunque utili al controllo del rispetto della disciplina in materia di trattamento dei dati personali.
Al successivo art. 159 del citato decreto, si specifica che Il personale operante può procedere a rilievi e ad operazioni tecniche e può altresì estrarre copia di ogni atto, dato e documento, anche a campione e su supporto informatico o per via telematica. Degli accertamenti è redatto sommario verbale nel quale sono annotate anche le eventuali dichiarazioni dei presenti.
Fondamentale non rendere dichiarazioni false che potrebbero essere sanzionate penalmente ai sensi dell'art. 168 del D. Lgs. 196/2003: salvo che il fatto costituisca più grave reato, chiunque, in un procedimento o nel corso di accertamenti dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi, è punito con la reclusione da sei mesi a tre anni.
È quindi opportuno prepararsi fin d'ora, predisponendo la documentazione necessaria a comprovare il rispetto del GDPR ed individuando le persone e le procedure che gestiranno questa delicata fase di accertamento, dimostrandosi collaborativi verso le richieste dell'autorità competente.