Come funziona la visita ispettiva del Nucleo Speciale della Guardia di Finanza?

11 dicembre 2019Ultimo aggiornamento 02 settembre 2020
Tempo di lettura stimato: 15'
Dopo la gogna mediatica del Data Breach, la seconda paura delle aziende in tema di protezione dei dati personali è la visita ispettiva del Nucleo Speciale della Guardia di Finanza. Come funziona veramente? In questo breve racconto Andrea Kaiser, già protagonista del romanzo “Chi ha paura del GDPR” è alle prese con un controllo in una piccola azienda del nord Italia. 


Il corvo. Una giornata da dimenticare per Andrea Kaiser
Racconto PrivacyLab - Corvo

Andrea Kaiser non aveva dormito quella notte. 5 ore con gli occhi sbarrati e la sensazione sgradevole che quella sarebbe stata una giornata da dimenticare. Imboccata la statale per arrivare in azienda, la sua testa era nel caos. Non riusciva a scrollarsi di dosso la sensazione di sfiga imminente. Scese dall’auto. Accese la sigaretta elettronica. Due minuti di appagamento prima di buttarsi nelle solite 14 ore filate di lavoro. “Devo staccare prima” pensò, rimpiangendo la settimana sabbatica in barca a vela del mese precedente. Un corvo planò di fronte al campo incolto di fronte a lui, proprio mentre il vapore della sigaretta svaniva nell’aria. “Cattivo presagio?” Scacciò il pensiero “Devo smetterla di autosuggestionarmi” si disse seccato. 

Kaiser superò il vialetto che dal parcheggio portava alla STYLE - l’azienda che lo aveva nominato consulente privacy - una piccola catena di abbigliamento, 15 negozi e un e-commerce per un totale di 60/65 mila clienti sparsi per tutto il nord d’Italia - quando squillò il telefono. Era Giulia, l’assistente di Erminio Cocci, l’Amministratore Delegato. 

«Buongiorno Giulia» rispose Kaiser cercando di mascherare l’inquietudine, non lo chiamava mai prima delle 9.00 ed erano appena le 8.00 «Sono quasi all’ingresso, Cocci chiede di me?”
Dall’altro capo del telefono, Giulia, normalmente calma e professionale, rispose in un sussurro «Sì, no… be’, sì Cocci ti sta cercando, ma con lui ci sono anche» la voce ormai impercettibile «Ci sono anche i finanzieri
Eccola lì, la sfiga. Altro che sensazione. La Guardia di Finanza era lì per una visita ispettiva!
Kaiser si fermò. Trattenne un’imprecazione. Passò in rassegna tutto il lavoro fatto negli ultimi 8 anni con la STYLE: le sporcaccionate con la 196 non a norma che era riuscito a sistemare, tutto il faticoso lavoro di adeguamento al GDPR, la formazione, le spunte sul sito, il Registro dei trattamenti. Ma sarebbe bastato? Cocci più volte aveva ignorato i suoi consigli… Cosa avrebbero guardato? E soprattutto perché erano lì?
Kaiser dominò l’ansia. “La Guardia di Finanza si muove per due motivi” si disse “O ti sorteggiano o qualcuno ti ha segnalato. La BIZ, magari?” La BIZ era la concorrente della STYLE. Un’azienda che giocava sporco. Il titolare era un mezzo bandito che aveva cercato di affondare il suo cliente già diverse volte. Sospirò. Sfiga o colpo basso poco importava. Kaiser si passò una mano fra i capelli e si avviò spedito verso la STYLE.

«Buongiorno Andrea» lo accolse con aria sollevata Cocci «Finalmente sei qui! Ti presento il Maresciallo Bianchi, il Brigadiere Atti e l’Appuntato Nocera del Nucleo Speciale della Guardia di Finanza» 
Il maresciallo, un uomo massiccio, sui 45 anni, dall’aria seria e gli occhi penetranti, puntò lo sguardo su di lui «Piacere. Dott. Kaiser, consulente privacy, giusto? Cosa ne dite se ci accomodiamo nell’ufficio del Dott. Cocci?»
«Benissimo. Certamente maresciallo» l’A.D. si schiarì la gola «Vi faccio strada»

I cinque uomini si chiusero la porta alle spalle. Giulia, agitata, tornò alla scrivania, accese il computer e cercò di concentrarsi sul lavoro, gli occhi che correvano dal monitor all’ufficio del titolare. Cosa stava succedendo?

«Come potete immaginare» disse il maresciallo sedendosi e appoggiando un faldone enorme sul tavolo di cristallo Kartell di Cocci «Siamo qui per una visita ispettiva. Vorremmo capire come trattate i dati. A questo proposito vorremmo parlare con lei, Dott. Cocci, con il vostro consulente informatico, il legale e il DPO.»
Cocci deglutì e disse «Il consulente informatico è esterno. Non abbiamo un legale interno e non abbiamo nominato neanche un DPO perché non è obbligatorio per legge. Quindi, per la gestione del GDPR ci siamo affidati al Dott. Kaiser, qui presente, che è il nostro consulente privacy»


Il maresciallo alzò gli occhi, lo sguardo passò dall’Amministratore Delegato a Kaiser «Non avete il DPO? » disse aprendo il faldone che, notò il consulente, conteneva il testo completo del Regolamento e tutti i provvedimenti del Garante.
E Cocci «Ah be’ sa, noi non trattiamo dati su larga scala…»
«Lo lasci giudicare a me. » Disse il maresciallo «A proposito, venendo qui ho notato che ci sono delle telecamere. Mi portate la documentazione su come gestite la videosorveglianza? »
Cocci guardò Kaiser «Andrea, ci pensi tu? »
«Certo. Torno subito. Vado a prendere il faldone privacy» rispose. Uscì in fretta giusto in tempo per sentire il maresciallo che diceva «Va bene, lei vada pure Dott. Cocci, la chiamiamo noi quando serve. »
Erminio Cocci raggiunse in un attimo Kaiser e mentre si affrettava verso il terrazzo per prendere aria, gli lanciò uno sguardo ansioso. 
“Ok, allora la pesca è tutta mia” Pensò Kaiser mentre rientrava in ufficio con un grande faldone rosso vivo. Era lì che la STYLE aveva archiviato tutti i documenti sulla privacy: informative, contratti, nomine. «Ecco i documenti» disse porgendo i fogli al maresciallo, che non rispose, ma dal suo sguardo trapelò un lampo di approvazione. Un raccoglitore con tutti i documenti sulla privacy: quel Kaiser sapeva il fatto suo.

«Per quanto riguarda la videosorveglianza» proseguì il consulente «abbiamo l’informativa completa. Il Dott. Cocci ha fatto installare i cartelli prima del raggio d’azione delle videocamere e nel Registro dei trattamenti c’è anche quello della videosorveglianza. Le videocamere sono presenti anche nei negozi. Chiaramente abbiamo lasciato l’informativa ai dipendenti, ma il sistema di telecamere viene usato solo per la tutela del patrimonio. Non viene usato per il controllo a distanza dei lavoratori. È stato fatto anche l’accordo con Ispettorato Territoriale del Lavoro e con i sindacati.» Precisò Kaiser.

Annuendo il maresciallo disse: «Va bene, entro un’ora mi porti tutti i documenti, così li vediamo e nel frattempo li scansioniamo. Sa, non siamo venuti qui per controllare come gestite la videosorveglianza. Comunque, già che ci siamo, controlliamo anche quello, tanto per vedere come siete organizzati.» Alzò gli occhi e disse «So che c’è l’IT interno, Dott. Kaiser, lo chiami per cortesia e gli chieda la stampa di tutti i clienti in database per vedere quanti sono. Così capiamo meglio se è vero che non dovete nominare il DPO.»
Kaiser si alzò, percorse il corridoio e raggiunse il CED. «Antonio» disse «Ho bisogno di te. Puoi venire un attimo?» Antonio Ferrari, responsabile IT, staccò gli occhi dal monitor e uscì. Lo sguardo di Kaiser era preoccupato, non è che forse… «Dimmi Andrea. Cosa succede?» Kaiser a bassa voce gli disse «Mi serve la stampata del database clienti, me la puoi fare al volo? »


Ferrari sempre più insospettito fece partire la stampante e diede il foglio al consulente “Qui sta succedendo qualcosa” si disse.  
«Ecco la stampata» disse Kaiser rientrando «Ci sono 65.042 clienti registrati sui database, ma sono sparsi in tutto il nord Italia perché la STYLE ha solo 15 negozi fra Lombardia, Piemonte, Veneto ed Emilia-Romagna. Il numero è esiguo, in rapporto ai 50 milioni di abitanti dell’Italia, per questo il DPO non è stato nominato. Ecco la mail in cui il Dott. Cocci si è confrontato con me ed il legale, che riporta anche i motivi per cui è stata presa la decisione. »
«Grazie» disse il maresciallo dando una rapida scorsa al foglio e porgendolo al collega perché lo scansionasse, poi aggiunse «Vi consiglio comunque di ripensarci. Dott. Kaiser, noi siamo qui per rilevare, non per giudicare. Però, durante la visita ispettiva potrei darvi qualche suggerimento per correggere e migliorare quello che state facendo. Più tardi ne parlerò anche con il Dott. Cocci…» 
Kaiser ripensò alle occasioni in cui aveva consigliato - inascoltato - l’Amministratore Delegato. Più volte gli aveva suggerito di nominare un DPO: «Dott. Cocci io non posso decidere per lei, perché è lei il titolare del trattamento dei dati e io sono un consulente. Però la sua è un’attività B2C. Se fosse un B2B e lei trattasse solo dati di aziende potremmo anche ragionarci, ma i suoi clienti sono persone fisiche. In un contesto come il suo il DPO va nominato.» Nulla. L’A.D. aveva preferito diversamente. 
«Ne avrà viste tante maresciallo…» disse Kaiser riprendendo il discorso «Sicuramente avrà tanta esperienza e accettiamo volentieri le sue indicazioni. »

ll maresciallo scambiò uno sguardo con appuntato e brigadiere ma non rispose. «Bene» disse «Adesso passiamo all’e-commerce. Facciamo un’analisi sul sito per capire la reale gestione di quei dati che vengono recuperati da lì e arrivano all’area cliente. Quindi dovremmo parlare con il responsabile ERP e il responsabile dell’IT in modo da capire dove vanno a finire queste informazioni. »
«Vi servono le informative del sito?» chiese Kaiser alzandosi per andare a chiamare Ferrari e Caruso, il responsabile ERP.
«Le vediamo insieme. Facciamo tutti i passaggi per la registrazione al sito, come un utente normale. Entriamo all’interno della piattaforma e vediamo cosa c’è e cosa non c’è. Dove sono le informative e quali consensi vengono raccolti.» Rispose il maresciallo con tranquillità.


Quando Kaiser lo raggiunse in compagnia di un turbato Caruso, Ferrari, il responsabile IT, ormai aveva capito. Erano sotto visita ispettiva. Iniziò a sudare, gli occhiali si appannarono. Li prese, li pulì con il bordo della camicia e seguì i due nell’ufficio di Cocci.


«Adesso ci mettiamo tutti al tavolo e vediamo cosa succede quando le persone si registrano sul sito» Appuntato e brigadiere si misero al computer. L’appuntato inserì i suoi dati. Sul sito c’era l’informativa e i finanzieri la passarono al setaccio. Le finalità di raccolta erano solo 3: marketing, profilazione e customer satisfaction – la STYLE si appoggiava ad un’azienda esterna per le indagini sulla soddisfazione del cliente - ogni finalità aveva la sua spunta. Kaiser sospirò sollevato perché su quel punto aveva insistito molto. “Ogni trattamento deve avere il suo consenso” aveva spiegato all’azienda. 
L’appuntato si registrò e acconsentì solo al trattamento per finalità di marketing.
«Adesso Dott. Caruso» disse al responsabile ERP «mi stampi cosa è arrivato dalla registrazione dell’appuntato sul sito.» Caruso si affrettò alla sua postazione e dopo pochi minuti tornò con un foglio dove c’erano scritti nome, cognome, indirizzo mail, 3 campi per il consenso e solo uno di questi flaggato
Kaiser sospirò di nuovo “Bene, sito e gestionale sono integrati correttamente fra loro, fortuna che non ci sono stati bug o problemi con l’aggiornamento...” L’appuntato aveva dato il suo consenso solo per finalità di marketing e così risultava anche nel gestionale. 
Nel frattempo, il brigadiere faceva lo screenshot del database marketing e guardava tutto quello che c’era e come era stato acquisito. 
«Dott. Kaiser quante informative avete ipotizzato?» Riprese il maresciallo «Avete ipotizzato solo un’informativa per i clienti dei negozi, un’informativa per i clienti web, una per i prospect…»
«Dunque» si schiarì la voce il consulente «C’è un’informativa per i clienti del negozio, perché la STYLE ha la carta punti. Quindi, quando il cliente decide di usufruire della carta punti, la commessa gli dà l’informativa che al suo interno ha anche le informazioni sulla gestione della carta. Poi la commessa inserisce i dati nel sistema. C’è anche un’informativa per i clienti web ed una per chi si registra e vuole ricevere le promozioni. In totale, la STYLE per i clienti ha almeno 3 informative differenti, che dipendono dal punto di contatto utilizzato.»


Kaiser ripensò a quando la STYLE stava valutando la vendita di gioielli nichel-free alle clienti con carta fedeltà allergiche agli altri metalli. L’iniziativa era naufragata, ma se fosse andata in porto avrebbero dovuto prevedere un’ulteriore informativa, assolutamente necessaria perché quello era un trattamento di dati particolari.


Il Nucleo Speciale verbalizzò le informazioni, fece gli screenshot e passò oltre. 
«Dott. Kaiser come viene gestita la privacy in azienda, come vi siete organizzati? Avete fatto un Data Privacy Assessment? Me lo racconti che poi andiamo a vedere dei documenti che fra poco le chiederò.»
Kaiser drizzò la schiena e con sicurezza descrisse come la STYLE gestiva i dati «Dunque, come prima cosa abbiamo redatto un Registro dei trattamenti, i negozi STYLE sono tutti di proprietà, quindi non essendo in franchising non abbiamo il registro del trattamento in conto terzi. Poi, per ogni trattamento, abbiamo fatto un’analisi dei rischi per verificare se il rischio residuale fosse basso e adottato le contromisure per essere tranquilli e avere un Impact Assessement su tutti i trattamenti che facciamo.»
Il maresciallo puntò lo sguardo su di lui. Era serio, ma non ostile. «L’analisi del rischio su che base l’avete fatta?» chiese.
«Usiamo PrivacyLab» rispose Kaiser senza esitare «È un tool che ha una metodologia estesa, certificata da UNICERT.»
«Ok, Dott. Kaiser, per cortesia, mi fa vedere il Registro dei trattamenti e mi dice che tipo di formazione state facendo in azienda? »
“Fase due” pensò Kaiser “Vuole vedere se la STYLE riesce a provare la sua accountability.
«Certo, ecco il Registro» disse «Per la formazione facciamo così: abbiamo una persona, formata sul tema, che si occupa di data entry e che aggiorna la documentazione in PrivacyLab. Poi abbiamo formato chi si occupa di e-commerce, ma solo sulla gestione dei trattamenti connessi alla piattaforma, quindi come gestire le opposizioni al consenso e così via. In più abbiamo pianificato dei nuovi corsi di aggiornamento per i primi mesi del 2020.» 
«Bene. Gentilmente mi chiama il Dott. Cocci? »
Kaiser uscì e rientrò con l’Amministratore Delegato visibilmente teso. 
«Dott. Cocci, ho bisogno di chiederle alcune cose. Il Dott. Kaiser ha un contratto?»
Cocci giocherellando con le dita rispose «Sì, certo…»
E il maresciallo: «Ha anche una nomina a responsabile esterno? »
L’A.D. un po’ sudato rispose: «Sì, la faccio sempre fare.»
Il maresciallo scambiò uno sguardo con appuntato e brigadiere «Posso avere un’evidenza di questa nomina? Di com’è fatta e quali sono le finalità?»
Cocci guardò Kaiser, che annuì. I contratti e le nomine erano nel faldone privacy. Giulia, l’assistente dell’A.D., li archiviava con regolarità. «Ecco le nomine» disse Cocci.
Il maresciallo prese i documenti e li passò ai colleghi perché facessero la scansione. Poi riprese «Dott. Cocci, le paghe le fate voi o le fate fare all’esterno? »
«All’esterno» rispose l’A.D.
«Bene allora mi servirebbe anche la nomina del responsabile esterno per le paghe. E il consulente informatico? »
«Anche quello è esterno» disse Erminio Cocci.
«Allora mi servirebbe anche la sua nomina. Se avete il contratto mi serve anche quello, perché altrimenti la nomina, senza contratto, non ha senso di esistere…»
Kaiser penso fra sé e sé che il maresciallo si muoveva come un informatico e aveva la competenza di un legale. I contratti sono la base giuridica per definire i rapporti con i responsabili esterni e lui ovviamente sapeva dove guardare. Cocci intanto allungava i documenti al finanziere, le dita sudaticce che lasciavano un alone sulla scrivania di cristallo. 
«Dott. Cocci» riprese il maresciallo «Come fate la selezione dei responsabili esterni?»
A questa domanda l’A.D. guardò prima Kaiser e poi il maresciallo. Lo sguardo era quello della mucca quando vede passare il treno. Il nulla. La risposta nella sua testa era ovvia “Come tutti…scegliamo quelli che costano meno”. Ma decise di sorvolare e farfugliò qualcosa su “… conosciuti ad un evento… affidabili… lo dice anche un amico imprenditore con cui gioco a tennis…”
Il finanziere lo guardò e con serietà gli disse «Basta chiedergli una DPIA. Quando si chiama un responsabile esterno, Dott. Cocci, oltre a chiedere cosa fa, dovreste chiedere anche di dare evidenza della sua compliance al GDPR. Dato che non può guardare il suo Registro dei trattamenti, può chiedergli la valutazione d’impatto. Servono le evidenze concrete, Dott. Cocci, non basta che le dica che rispetta il Regolamento europeo. Ovviamente sa che può interrompere il contratto con il suo fornitore informatico o con qualunque altro responsabile esterno, se non è chiaro come vengono trattati i dati, vero? »
 
Cocci annuì, l’aria pentita e le gocce di sudore che continuavano a colargli dalla fronte. 
«Andiamo avanti. Per cortesia Dott. Kaiser mi chiama il responsabile IT? Deve farmi una relazione sull’organizzazione aziendale dal punto di vista informatico. Come vengono gestiti i dati sull’ERP, come vengono gestiti i server, dove sono ospitati… in modo da avere un quadro chiaro.»
Kaiser andò da Ferrari. Pallido, sudato, il responsabile IT roteava fra le dita una penna di plastica dal cappuccio smangiucchiato. 
«Antonio, vieni. Il maresciallo vuole una relazione da te.»
Il responsabile IT si alzò, meccanico. Avrebbe preferito mangiare una biscia. Ma seguì a testa bassa Kaiser, cercando di mostrarsi sicuro. 
«Allora, nella nostra struttura» iniziò schiarendosi la voce «Nella nostra struttura abbiamo dei server virtualizzati, dove vengono gestite le informazioni. Usiamo come software XYZ, il nostro database è ZXY»
“Adesso la sparo grossa e vediamo cosa dice” pensò Ferrari.
«Tutti i dati personali, come da legge, vengono pseudoanonimizzati e cifrati in maniera tale che a una prima vista non siano resi disponibili.» Disse tutto d’un fiato. 


Il maresciallo scambiò un altro sguardo di intesa con i colleghi. Puntò gli occhi penetranti su Ferrari e disse «Mi dia evidenza. Vada con il brigadiere, che così verifica se fate quello che ha appena detto. Poi per cortesia prepari una relazione sulla gestione del dato sia all'interno del gestionale che del server. Dott. Kaiser» disse rivolgendosi al consulente «per piacere ci serve anche il Data Privacy Impact Assessement con l’analisi dei rischi fatta dall’azienda, soprattutto per l’e-commerce, che è quello con l’impatto più alto dal punto di vista dei dati.»
Kaiser entrò in PrivacyLab, scaricò il documento e lo stampò: una cinquantina di fogli A4.
Il maresciallo lo prese e disse: «Bene, avete fatto l’analisi del rischio, ma su quali basi lo avete stimato?»
E Kaiser: «Ecco, questa è la modalità che abbiamo usato per il calcolo» indicò un logaritmo sul documento scaricato da PrivacyLab «Avete qualche contestazione da fare sul documento? Vi sembra adeguato? »
«Sì, non lo abbiamo ancora letto…» rispose il maresciallo con un sorriso fra il divertito e il sardonico, iniziando a spulciare anche quel documento. 



Nei 3 giorni di visita ispettiva che seguirono, il Nucleo Speciale continuò a fare test. Simulò l’iscrizione alla newsletter, una campagna marketing, come venivano acquisiti i consensi, verificò come funzionava la procedura di importazione ed esportazione dalla piattaforma di automazione delle mail. Si lesse tutta la DPIA e il Registro. Lo spulciò e passò in rassegna ogni trattamento. Lesse la relazione del responsabile IT. Il maresciallo e i suoi colleghi analizzarono e verificarono tutto, estrapolando quello che era necessario per il loro controllo, fecero screenshot di ogni documento. 
Alla fine della visita ispettiva il maresciallo scrisse un verbale e preparò un CD da inviare al Garante.
«Dott. Cocci, Dott. Kaiser, qui abbiamo finito» disse congedandosi «Adesso mandiamo tutto all’Autorità Garante. Arrivederci.»
Cocci si girò verso Kaiser «Ma Andrea… e la sanzione? »
«La sanzione non la fa la Guardia di Finanza» rispose il consulente «Spetta al Garante. Dobbiamo aspettare, Erminio.»


L’Amministratore Delegato annuì, si girò, salutò Giulia e andò a casa. Kaiser lo guardò camminare a capo chino lungo il vialetto in direzione del parcheggio. Uscì anche lui. L’aria era pungente. Si accese una sigaretta elettronica. Guardò il campo vicino all’azienda. Nessun corvo questa volta. Forse quella notte avrebbe finalmente dormito. 
RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.

Biografia dell'autore

Andrea Chiozzi è nato a Reggio Emilia il 4 Agosto del 1969, reggiano “testaquadra” DOC come il lambrusco, ed è sposato con Luisa che lo sopporta da più di vent’anni.
Imprenditore e consulente, da più di 12 anni è l’Evangelist del GDPR.

Attività professionali:
Andrea Chiozzi è socio fondatore e CEO di PRIVACYLAB SRL, azienda che si occupa della produzione di PRIVACYLAB GDPR per la gestione avanzata delle attività legate alla compliance per il Regolamento Europeo 679/2016.
Esperto di GDPR e protezione dei dati personali (soprattutto nelle aree più problematiche quali il marketing digitale e i social network, il digital advertising, l’Internet of Things, i Big Data, il cloud computing),
Andrea presta consulenza per la media e la grande industria italiana e si occupa di organizzare e condurre i consulenti aziendali ad un approccio ottimizzato alla gestione della Compliance GDPR.
È ideatore del sistema Privacylab e della metodologia applicata ai consulenti certificati GDPR. 
Nel 2003 dà vita alla figura di “Privacy Evangelist” e comincia a girare l’Italia come relatore in vari convegni e corsi in tema di protezione dei dati personali arrivando a evangelizzare più di 10.000 persone.

È commissario d’esame per:

UNICERT per lo schema DSC_12/30 per Consulenti Certificati GDPR
TÜV dello schema CDP_ 201 Privacy Officer, Bureau Veritas
CEPAS Bureau Veritas DATA PROTECTION OFFICER per lo schema SCH73 norma Uni 11697:2017 (Accredia) 
ACS ITALIA DATA PROTECTION OFFICER per lo schema SCH01 norma Uni 11697:2017 (Accredia)
UNIVERSAL Gmbh DAKKS per lo schema ISO/IEC 17024:2012 "DATA PROTECTION OFFICER"

E' certificato con:
Unicert come "Consulente Certificato GDPR" n. 18203RE22
TÜV come “Privacy Officer e Consulente Privacy” n. CDP_196.
Cepas Bureau Veritas "Data protection Officer" n. DPO0206
UNICERT DAKKS " Data Protection Officer" n. DPO 0818 010012

Fa parte del Comitato Scientifico Privacy di Torino Wireless, GDPR Academy e di Agile DPO .

Le categorie

Gli argomenti dei nostri articoli

La guida di PrivacyLab

Per orientarti tra i nostri articoli

Resta informato su quello che succede.

Lasciaci la tua email e riceverai le nostre comunicazioni informative e commerciali

informativa sulla privacy