[et_pb_section fb_built=\u00a0\u00bb1″ _builder_version=\u00a0\u00bb4.27.2″ _module_preset=\u00a0\u00bbdefault\u00a0\u00bb global_colors_info=\u00a0\u00bb{}\u00a0\u00bb][et_pb_row _builder_version=\u00a0\u00bb4.27.2″ _module_preset=\u00a0\u00bbdefault\u00a0\u00bb global_colors_info=\u00a0\u00bb{}\u00a0\u00bb][et_pb_column type=\u00a0\u00bb4_4″ _builder_version=\u00a0\u00bb4.27.2″ _module_preset=\u00a0\u00bbdefault\u00a0\u00bb global_colors_info=\u00a0\u00bb{}\u00a0\u00bb][et_pb_text _builder_version=\u00a0\u00bb4.27.2″ _module_preset=\u00a0\u00bbdefault\u00a0\u00bb global_colors_info=\u00a0\u00bb{}\u00a0\u00bb]<\/p>\n
Quando un'azienda riceve una lettera dalla Commissione nazionale per l'informatica e le libert\u00e0 (CNIL) che richiede spiegazioni sulle sue pratiche in materia di trattamento dei dati personali, si trova ad affrontare una situazione delicata che richiede un intervento rapido, rigoroso e conforme ai requisiti della Regolamento generale sulla protezione dei dati (GDPR). Una risposta inadeguata, infatti, pu\u00f2 portare a gravi conseguenze, tra cui sanzioni amministrative fino a 20 milioni di euro o 4 % del fatturato globale annuo (articolo 83 del GDPR). Questo articolo esamina i passaggi da seguire di fronte a tale lettera, i rischi connessi, l\u2019opportunit\u00e0 di presentare una Valutazione di Impatto sulla Protezione dei Dati (DPIA), nonch\u00e9 i tre elementi chiave da fornire nella risposta per evitare una controversia.<\/strong><\/p>\n La CNIL, in qualit\u00e0 di autorit\u00e0 di controllo responsabile di garantire il rispetto delle leggi sulla protezione dei dati, pu\u00f2 inviare una lettera alle aziende per ottenere informazioni sul trattamento dei dati personali da esse effettuato. Questa lettera pu\u00f2 avere diverse motivazioni: un reclamo da parte di un privato, un sopralluogo programmato, oppure una verifica legata ad una segnalazione. Qualunque siano le ragioni, \u00e8 essenziale trattare la richiesta con seriet\u00e0 e rapidit\u00e0.<\/p>\n Il primo passo \u00e8 leggere attentamente il modulo di domanda. CNIL<\/a>. La lettera pu\u00f2 richiedere informazioni specifiche su determinati trattamenti di dati, la giustificazione della loro base giuridica, le misure di sicurezza messe in atto, o anche dettagli sulla procedure interne che consentono l'esercizio dei diritti<\/a> delle persone interessate. \u00c8 fondamentale capire bene cosa ci si aspetta, i tempi di risposta indicati e i documenti da fornire.<\/p>\n Dopo aver individuato le informazioni richieste, dovr\u00e0 essere compilata una pratica completa e documentata. Questo file deve includere:<\/p>\n Se l\u2019azienda ha nominato un Responsabile della Protezione dei Dati (DPO), \u00e8 imperativo coinvolgerlo nel processo di risposta alla CNIL. Il DPO gioca un ruolo fondamentale<\/p>\n <\/p>\n <\/p>\n assistenza negli adempimenti organizzativi e nella gestione dei rapporti con l\u2019Autorit\u00e0 di Vigilanza. La sua missione comprende la supervisione del trattamento dei dati, la sensibilizzazione dei dipendenti e la consulenza sulle risposte alle richieste delle autorit\u00e0. La sua consultazione \u00e8 quindi garanzia di buona fede e diligenza nel contesto del dialogo con la CNIL.<\/p>\n Una risposta inadeguata o mancata risposta a una richiesta di spiegazioni da parte della CNIL pu\u00f2 comportare diversi rischi per l'azienda, che vanno dalle sanzioni finanziarie alle restrizioni sul trattamento dei dati.<\/p>\n L\u2019articolo 83 del GDPR prevede sanzioni amministrative proporzionate alla gravit\u00e0 della violazione. Le violazioni dei principi fondamentali di protezione dei dati, dei diritti degli interessati o degli obblighi di sicurezza possono comportare multe fino a 20 milioni di euro o 4 % del fatturato annuo globale dell'azienda, l'importo pi\u00f9 elevato verr\u00e0 trattenuto.<\/p>\n Se la CNIL ritiene che il trattamento dei dati non \u00e8 conforme ai requisiti del GDPR, pu\u00f2 inviare alla societ\u00e0 una avviso formale<\/a> adempiere entro un determinato termine. In assenza di regolarizzazione, l\u2019autorit\u00e0 pu\u00f2 adottare misure coercitive come l\u2019ingiunzione di cessare il trattamento o di limitarne le finalit\u00e0.<\/p>\n Nei casi pi\u00f9 gravi, la CNIL pu\u00f2 ordinare la sospensione temporanea o definitiva delle attivit\u00e0 di trattamento, che possono incidere notevolmente sull'attivit\u00e0 dell'impresa. Ad esempio, a una societ\u00e0 di e-commerce potrebbe essere impedito di utilizzare i propri database di clienti, il che danneggerebbe direttamente le sue entrate.<\/p>\n1. Passi da seguire in risposta ad una lettera della CNIL<\/strong><\/h2>\n
ha. Analizzare attentamente il contenuto della posta<\/em><\/h3>\n
B. Creare un file completo per rispondere alla richiesta<\/em><\/h3>\n
\n
C. Consultare il Responsabile della Protezione dei Dati (DPO)<\/em><\/h3>\n
2. Rischi in caso di non conformit\u00e0 o risposta insufficiente<\/strong><\/h2>\n
ha. Rischio sanzioni amministrative<\/em><\/h3>\n
B. Rischio di costituzione in mora o ingiunzione di conformit\u00e0<\/em><\/h3>\n
C. Sospensione del trattamento dei dati<\/em><\/h3>\n
3. Presentare una AIPD: quando e perch\u00e9?<\/strong><\/h2>\n