gdpr monitoraggio

GDPR: come si svolge il monitoraggio?

L’importanza dell’audit nell’ambito privacy

Lo strumento utile a disposizione del titolare del trattamento dei dati è l’Audit. Con tale strumento dimostra la propria accountability e l’adeguamento al GDPR. Come già spiegato in altre occasioni, la procedura dell’audit richiede professionisti specializzati e il rispetto di diverse fasi operative. Non si può improvvisare!

Un termine chiave e per tanti sicuramente nuovo, nell’ambito della protezione dei dati, è l’Accountability. Ma di che cosa si tratta? L’art.5.2 del GDPR enuncia che il titolare è il soggetto a cui compete il rispetto dei principi generali di trattamento. Lui deve essere in grado di “comprovarlo” attraverso misure tecniche ed organizzative adeguate. Il concetto di accountability (che significa responsabilità) viene ulteriormente rafforzato dall’art.24 che afferma che tali misure devono essere riesaminate ed aggiornate. Quindi le nostre parole chiave oggi sono: responsabilità, controllo, aggiornamento e mantenimento. Ciò significa che il titolare del trattamento deve mettere in atto un programma di monitoraggio dei propri sistemi di protezione dei dati con il quale tiene aggiornato nel tempo i processi. Strumento ottimale per tale scopo è l’attività di audit.

Prevenire non mitigare grazie al GDPR

Teniamo quindi presente che il GDPR non prevede un adeguamento una tantum, ma richiede una manutenzione continua. Come risulta in uno studio a cura della Commissione Europea, del 2019, l’Italia occupa il penultimo posto in merito alla conoscenza della norma e alle attività svolte dalle autorità di vigilanza. Tra gli elementi carenti risulta la mancanza dei processi documentati e dimostrabili, la carente gestione dei reclami e l’assenza dei registri di trattamento dei dati. È quindi evidente il fatto che si deve lavorare ancora molto per riuscire a colmare il gap esistente tra adempimento formale e adempimento sostanziale. Una lacuna che spesso si verifica nelle aziende, è proprio la mancanza di verifiche, di piani di controlli preventivi. 

Va ricordato che si deve prevenire il rischio e non mitigare. Perché la maggior parte dei data breach accadono proprio a causa della mancanza dei controlli periodici adeguati. Evitare tale disastri sarebbe quindi possibile, se si adottasse un efficace comportamento “proattivo”. A rafforzare l’importanza di questo approccio preventivo e anche questa affermazione di Stefano Rodotà: “i dati personali degli oltre 500 milioni di abitanti dei 28 Paesi dell’Unione Europea nel 2020 avranno un valore commerciale stimato attorno ai 1.000 miliardi di euro”. Un dato che esprime chiaramente quanto sia accattivante entrare in possesso di questi dati come quanto sia quindi fondamentale proteggerli.

Il valore dei dati protetti dal GDPR

I dati personali rappresentano un enorme valore per l’azienda e vanno di conseguenza custoditi e protetti, non utilizzati a piacimento. Risulta quindi di fondamentale importanza conoscere le criticità legate al trattamento dei dati personali nel operato quotidiano. Non solo per proteggerli ma anche perché rappresenta un “asset” di competitività sul mercato.

Sorge a questo punto la domanda: un titolare può dimostrare la propria “accountability” e mantenerla aggiornata nel tempo? La risposta è chiara e netta: Sì. Il titolare può dimostrare la sua responsabilità adottando un approccio globale di gestione dei dati personali. Questa gestione deve prevedere un piano di verifiche e monitoraggio del proprio sistema della protezione dei dati personali. Volto ad individuare preventivamente eventuali carenze e individuare quelle azioni di rimedio utili a garantire nel tempo un adeguato livello di conformità al GDPR.

Che cos’è l’audit

Vediamo quindi che cos’è l’audit nel ambito privacy e GDPR. Si tratta di un processo di valutazione indipendente che si svolge periodicamente sulla base di un’attività di campionamento. Lo scopo è di ottenere evidenze relative ad un determinato contesto di analisi e valutarle con obiettività. Risultato della verifica sarà di stabilire in quale misura i criteri prefissati siano stati raggiunti o meno. Il concetto di audit può essere applicato a molte attività. Comprese quelle della gestione dei dati, fungendo da strumento di verifica, come richiesto dal GDPR. Utile per tale attività risulta essere la norma ISO 19011. Si tratta di una linea guida sull’audit di sistemi di gestione, nonchè gestione dei programmi di audit e la conduzione degli stessi.

La norma può essere applicata a qualsiasi organizzazione che ha l’esigenza di pianificare e condurre un audit interno o esterno di sistemi di gestione. L’audit è lo strumento più importante per valutare se i requisiti vengono applicati in modo coerente e con regolarità nell’ambito dei processi e se il sistema produce i risultati desiderati.

Chi è l’auditor e qual è il suo ruolo nell’adeguamento al GDPR

Il Lead auditor e l’auditor sono membri di un team che esegue appunto l’audit. Il lead auditor è il responsabile del team e, una volta incaricato, tutte le singole attività sono sotto la sua responsabilità, sulla base di quanto previsto dalla procedura di riferimento. L’auditor invece esegue le direttive del responsabile del team e accetta le sue decisioni. Diamo per scontato che tale figure abbiano le caratteristiche personali e le competenze per effettuare un audit nell’ambito GDPR. Si tratta quindi di esperti della data protection sia a livello giuridico che informatico. Colui che svolge il ruolo di auditor, deve essere oggettivo, imparziale e, soprattutto, non deve avere conflitti di ruolo con l’oggetto dell’audit. In pratica, non deve avere responsabilità dirette con l’organizzazione o con il dipartimento interessato dall’attività di valutazione.

Una caratteristica molto importante dell’auditor è la spiccata capacità comunicativa. Una buona capacità di gestione delle risorse umane in modo assertivo, oltre all’abilità di persuadere grazie alla condivisione più che al mero e burocratico richiamo a prescrizioni e regolamenti, rendono il quadro professionale completo. Altrettanto fondamentale è lo spirito di osservazione e la capacità di giungere tempestivamente a conclusioni basate sull’analisi e su ragionamenti logici. Importante ricordare che le informazioni relative all’audit sono riservate e non devono essere utilizzate impropriamente per vantaggi personali.

I compiti del lead auditor

Quali sono i primari compiti che competono al responsabile dell’audit?

  • assicurasi della fattibilità dell’audit
  • scegliere i membri del team
  • prendere contatti con il referente dell’organizzazione
  • gestire tutta la comunicazione durante tutto il processo
  • raccogliere la documentazione e approfondire eventuali normative applicabili
  • effettuare l’analisi documentale
  • definire il programma di audit
  • preparare le liste di controllo di audit
  • gestire il team
  • gestire le riunioni di apertura e chiusura dell’audit
  • formulare le risultanze
  • redarre e gestire l’approvazione del rapporto di audit

Gli obiettivi e il piano dell’audit

L’obiettivo di un audit deve essere fissato in modo chiaro e condiviso e può essere rivolto per esempio alla:

  • verifica del grado di conformità alla normativa vigente
  • verifica del grado di conformità tra data protection policy e comportamenti dei dipendenti
  • accertamento del livello di conformità al GDPR e alle policy aziendali di un fornitore di servizi, al fine di valutare che i requisiti dichiarati e concordati nella fase iniziale di stesura dell’accordo, sia stati rispettati e mantenuti nel tempo
  • accertamento dell’efficacia di azioni correttive a seguito di una “non- conformità” riscontrata durante un precedente

Il piano d’audit per il GDPR è parte fondamentale per una corretta gestione dell’attività di verifica. Tale piano va condiviso durante la riunione di apertura, quindi prima di iniziare l’attività di audit. In questo modo a tutte le risorse coinvolte sarà possibile comprendere al meglio le attività che si andranno a svolgere. Vediamo di seguito i punti del piano formalizzato preventivamente:

  • gli obiettivi da raggiungere
  • i criteri adottati per raggiungere gli obiettivi e i documenti di riferimento
  • il campo operativo 
  • giorni e i luoghi ;
  • il tempo stimato necessario per le verifiche sul posto
  • la check-list di domande

Il report finale

La conduzione dell’Audit in ambito GDPR, prevede la raccolta e la verifica delle informazioni attraverso l’esame documentale, oltre alle osservazioni dirette e le interviste ai referenti del settore/processo da auditare. Tutte le evidenze raccolte devono essere documentate e verificabili, basate su un campione delle informazioni disponibili poiché l’audit si svolge in un lasso di tempo limitato. Le conclusioni, devono essere documentate attraverso un report finale. Le risultanze dell’audit, che possono essere classificate in non conformità, osservazioni e opportunità di miglioramento, commenti e raccomandazioni devono essere dettagliatamente precisate. In sintesi, i contenuti principali del rapporto di audit sono:

  • obbiettivi, campo di applicazione e criteri dell’audit
  • sedi, luogo e data in cui si è svolto l’audit
  • team di audit e ruoli ricoperti
  • rappresentante dell’organizzazione additata e altre risorse intervistate
  • risultanza dell’audit e la loro classificazione
  • conclusioni dell’audit e valutazioni in merito
  • azioni correttive e azioni di miglioramento

I principi etici dell’attività di audit

Poiché l’auditor si possa trovare in realtà complesse e a volte apparentemente paradossali e non operando da solo ma in team, risulta importante riportare anche i punti fermi di cui si deve conformare l’attività di auditing per potersi definire tale. Una corretta gestione richiede:

  • integrità
  • presentazione imparziale
  • adeguata diligenza/ professionalità
  • Riservatezza
  • Indipendenza
  • approccio basato sull’evidenza

Condurre un audit interno per l’adeguamento al GDPR può essere un compito complesso, sia per un’impresa di grandi dimensioni, sia per una piccola impresa che non possiede le competenze necessarie. La fiducia nel processo di audit e la capacità di raggiungere gli obiettivi dipende dalle competenze delle persone coinvolte. Questa attività può essere svolta sia da un privacy officer interno sia da un auditore esterno. Al DPO, se è stato nominato, è riservato il compito di contribuire alla definizione del piano di verifiche. Sicuramente la scelta più efficace è quella di individuare un team multidisciplinare, che garantisce le competenze adeguate di ogni settore.

L’ampiezza del programma di audit, in termine di numero di attività di verifica da svolgere, nonché le risorse da impiegare, dipendono dalla complessità dell’azienda oltre dalla rilevanza dei trattamenti svolti. Tuttavia, l’adozione un piano di verifiche documentate del proprio sistema di protezione dei dati ha un’importanza strategica nella dimostrazione della responsabilità del Titolare. Inoltre risulta essere utile nel caso di verifica da parte delle autorità di controllo. L’audit aiuta a garantire la competitività sul mercato attraverso un adeguato e sempre aggiornato livello di conformità al GDPR

Per individuare le aree di copertura dell’adeguamento al GDPR da parte del titolare, puoi chiedere il nostro SCHEMA DI VERIFICA. clicca qui

Conclusioni

Partecipare ad un audit GDPR nel ruolo dell’additato è stressante, effettuarlo lo è molto di più. Eseguire l’attività di audit richiede una costante concentrazione, oltre ad un atteggiamento mentale da auditore e la capacità di dare nulla per scontato.

L’audit dovrebbe durare per il tempo strettamente necessario, essere svolto in modo sobrio e pratico, in un clima disteso, aperto e collaborativo. Richiede di lasciare spazio alla professionalità e capacità intuitiva degli auditori, più che al rigore formale. In più serbe focalizzare i gap su cui orientare gli sforzi per migliorare i comportamenti e/o per ottimizzare le procedure.

A riguardo degli obiettivi perseguiti con il GDPR è importante vigilare affinché le attività di verifica siano funzionali al raggiungimento di essi e non residui di regole superate. Tale orientamento non dovrebbe mai essere una mera esecuzione dell’adempimento formale e le attività dovrebbero essere focalizzate alla tutela dei valori, degli asset e del know-how dell’organizzazione.

Eseguire e rendicontare un audit in modo efficiente richiede capacità di sintesi, problem soling e creatività: il lavoro può dare grandi risultati e soddisfazioni.

Se riscontrate che anche soltanto un tassello ancora manca e desiderate risolvere tutte le eventuali criticità, cliccate qui sotto e prenotate la vostra consulenza.