Accertamento del Garante Privacy: quali documenti sono richiesti?

14 Luglio 2021
blog-eventiCommenti disabilitati su Accertamento del Garante Privacy: quali documenti sono richiesti?

Il Garante Italiano con il recente provvedimento emanato nei confronti di “Glovo” ha messo in evidenza una serie di documenti utili per valutare la propria GDPR Readiness.

Nel corso dell’accertamento iniziato a luglio 2019 sono stati acquisiti:

  • copia e fac-simile del contratto di “prestazione d’opera”
  • copia della Informativa e politica sulla protezione dei dati dei dipendenti e quella dei collaboratori;
  • Data Processing Agreement – Accordo per il trattamento dei dati;
  • copia del documento relativo alle Politiche di trattamento e comunicazione dei dati personali e uso delle apparecchiature;
  • copia del registro delle attività di trattamento;
  • copia della licenza software della piattaforma utilizzata dai lavoratori;
  • copia degli screenshot degli accessi effettuati sui sistemi nelle date dell’ispezione;
  • copia della nomina del Data Protection Officer;
  • Organigramma aziendale;
  • descrizione degli algoritmi utilizzati ed implementati nel software utilizzato dai lavoratori;
  • elenco dei profili di accesso e dei diritti dei dipendenti;
  • clausole contrattuali standard per il trasferimento di dati all’estero sottoscritte dai soggetti a cui i dati personali sono trasferiti;
  • architettura del sistema utilizzato per la gestione del personale;
  • informazioni relative alla piattaforma di gestione delle telefonate;
  • documentazione inerente al periodo di conservazione dei dati personali;
  • valutazione preliminare dei rischi relativa al trattamento dei dati personali.

Dall’elenco di questi documenti e dalla lettura dell’intero provvedimento si desume quanto possa essere approfondita una ispezione del Garante privacy.

La peculiarità di questo prevvedimento è connesso anche al fatto che il Garante italiano ha attivato, per la prima volta, un’operazione congiunta con il Garante spagnolo (AEPD) per verificare il funzionamento della piattaforma digitale di proprietà della capogruppo.

Per concludere si evidenzia come nel calcolare la sanzione di 2,6 milioni di euro alla società italiana per i trattamenti illeciti effettuati, l’Autorità abbia tenuto conto anche della limitata collaborazione offerta dalla società nel corso dell’istruttoria e dell’elevato numero di interessati coinvolti in Italia. La società spagnola è invece oggetto di un autonomo procedimento condotto dall’AEPD, con la collaborazione del Garante italiano.