audit in ambito privacy

Come verifichi la conformità della tua azienda al GDPR? Guida ai vari tipi di Audit

Facciamo luce sui tipi di audit in ambito privacy

L’audit è uno strumento per valutare la conformità dell’azienda sotto il profilo del trattamento dei dati personali. Si valuta sia dal punto di vista elettronico e informatico che cartaceo e organizzativo. L’auditor infatti è “colui che ascolta”. Colui che, attraverso l’attività di campionamento delle informazioni documentate presenti all’interno di un’organizzazione, è in grado di valutare la conformità di un sistema di gestione ai criteri di riferimento.

La valutazione di conformità rappresenta uno step fondamentale e imprescindibile in ambito privacy. L’audit consiste in una valutazione di conformità dell’azienda sotto il profilo del trattamento dei dati personali.

Ebbene, attraverso il report finale vengono messe in rilievo le eventuali criticità da correggere all’interno dell’azienda. Quindi, nella prima fase, si va ad analizzare tutta la parte relativa alla documentazione. Poi si controlla il flusso dei dati personali dell’azienda sia all’interno sia verso l’esterno. In questo modo si riesce valutare la conformità e sicurezza della situazione aziendale in ambito privacy. Le interviste e i sopralluoghi contribuiscono in modo incisivo sulla valutazione specifica e globale. Si distinguono gli audit in tre categorie:

Audit di 1° parte

L’audit di prima parte, ossia quello “interno” consiste nella verifica dei processi interni d’azienda. In base alla grandezza dell’azienda si può scegliere di eseguire un audit globale oppure sezionarlo in vari reparti. Si dà la priorità ai reparti con maggiore “traffico” di dati. Come per esempio l’ufficio personale, il marketing o il reparto vendite. Il titolare ha la scelta di far eseguire l’audit di prima parte dal personale interno all’organizzazione che opera in posizione di indipendenza funzionale. In alternativa può incaricare un professionista esterno con tale compito.

Audit di 2° parte

L’audit di seconda parte si riferisce a quello “esterno”. Esso si svolge presso il responsabile esterno del trattamento. Si tratta della figura professionale che tratta i dati personali per conto del Titolare. Per esempio un fornitore che elabora i dati clienti al fine di inviare newsletter, inviti e comunicazioni promozionali personalizzati. Quindi nel momento in cui un’organizzazione che ha la necessità di qualificare un fornitore. In questo caso incarica un professionista interno, oppure un consulente, appositamente formato e addestrato, per la conduzione di un audit verso il fornitore stesso. I momenti in cui vengono svolti gli audit possono essere diversi. E qui si distingue tra audit di pre-qualificazione e di mantenimento. Significa che si effettua in un momento anteriore alla sottoscrizione di un contratto con il fornitore (pre-qualificazione). Oppure, al fine di valutare l’adeguatezza del fornitore ai requisiti richiesti dal Titolare (mantenimento), dopo l’accordo contrattuale.

In particolare, sarà necessario fare un audit di pre-qualificazione nella fase antecedente alla stipula del contratto con il fornitore perché così il Titolare del trattamento avrà modo di stimare se concludere o meno un contratto con quel fornitore. In questo caso, proprio perché non c’è nessun contratto, dovrebbero essere indicati i dati ai quali potrà estendersi il controllo.

L’audit di mantenimento

L’audit di mantenimento, invece, punta a valutare la compliance del fornitore nel periodo successivo alla stipula del contratto nonché la sua conformità ai requisiti richiesti dal Titolare in materia di trattamento dei dati. Ai sensi dell’art. 28 del Gdpr, infatti, il responsabile del trattamento deve presentare “garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato”.  

Dunque, con l’audit di seconda parte, si punta a valutare il rispetto degli obblighi contrattuali da parte del fornitore. Al termine di esso, si rilascia quindi un giudizio di “conformità” o meno. Pertanto, in caso di non-conformità del fornitore a quanto richiesto e pre-stabilito dal titolare, è obbligo del fornitore eliminare le eventuali non conformità emerse dall’audit, anche e non solo, per evitare le conseguenze che possono derivare da un inadempimento contrattuale.

Le conseguenze sul piano civilistico

Il Titolare dei dati conferisce al Responsabile esterno l’incarico, con un contratto o un altro atto giuridico conforme alla normativa nazionale. Significa che, tale atto prevede degli obblighi peculiari nei confronti del responsabile, obblighi diversi e ulteriori da quelli che, invece, incombono sul Titolare. L’art. 82, 2° comma del Gdpr prevede testualmente che “un responsabile del trattamento risponde per il danno causato dal trattamento solo se (…) ha agito in modo difforme o contrario rispetto alle legittime istruzioni del titolare del trattamento”, per poi aggiungere al 3° comma che il “(..) il responsabile del trattamento è esonerato da responsabilità, a norma del paragrafo 2, se dimostra che l’evento dannoso non gli è in alcun modo imputabile”.

Se il responsabile del trattamento non adempie esattamente alla prestazione dovuta, potrebbe incorrere nella responsabilità contrattuale e potrebbe essere obbligato a risarcire il danno al Titolare. Quindi, alla luce di quanto esposto, si comprende bene che dall’esecuzione dell’audit di seconda parte possono scaturire delle conseguenze rilevanti a carico del responsabile esterno del trattamento.

Audit di 3° parte

L’audit di terza parte si svolge presso organizzazioni che intendono certificare il proprio sistema di gestione oppure per monitorare un sistema di gestione già certificato. Pertanto, tale audit viene commissionato da un organismo di certificazione indipendente ed accreditato.

Conclusioni

In questo articolo abbiamo fornito una carrellata di informazioni riguardanti la gestione degli audit nell’ambito della privacy. Tuttavia non è facile, di primo impatto, sapere chi scegliere e cosa valutare per non incorrere in sanzioni o danni di reputazione. In ogni caso e sempre meglio fare un primo piccolo audio piuttosto che non farlo proprio. Una volta individuato il consulente giusto e il metodo corretto si raddrizza subito la situazione, recuperando eventuali criticità nella gestione. Resta comunque il fatto che l’audit ha un impatto economico sull’attività che a prima vista può sembrare alto. Tuttavia ricordiamo che il più grande (e caro) professionista costa sempre meno del più grande incapace. Perché l’impegno e il lavoro messo da parte tua per creare una buona reputazione va subito distrutto se un data breach compromette la sicurezza dei dati personali dei propri dipendenti e clienti.

Ora tocca a te! Prova a fare mente locale: i tuoi processi interni ed esterni sono adeguati al GDPR? I tuoi fornitori sono vincolati dalla riservatezza ed è documentato chi, come e perché tratta i dati personali dei tuoi dipendenti e clienti? O magari, piuttosto che sperare che tutto vada bene, sarà meglio controllare tramite un audit evitando sanzioni e danni alla reputazione? Siamo curiosi di conoscere i tuoi pensieri a riguardo. Facci sapere… noi ci siamo!

social network

Social Network e App: ecco perché dovresti proteggere i tuoi dati su WhatsApp, Messenger e Facebook

L’importanza dei dati personali nelle App e Social media

La diffusione dei social network e degli smartphone è oramai capillare e ogni utente ha in media 80 applicazioni installate sul proprio dispositivo. Negli ultimi tre anni il mercato collegato alle app ha avuto una crescita esponenziale passando da un valore globale del 2016 di 1.300 miliardi di dollari ad uno stimato nel 2023 di oltre 6 miliardi di dollari. Questo trend di crescita ovviamente è dovuto alla diffusione degli accessi a internet da smartphone che di fatto hanno superato quelli da pc. Siamo ormai abituati a questo strumento, indispensabile per tanti nella vita quotidiana. Lo smartphone contiene le App ed è ormai diventato lo strumento fondamentale per informarsi, comunicare sui social network, divertirsi o svolgere delle attività secondarie.

L’aumento della vastità di applicazioni disponibili, la velocità con la quale i programmi vengono sviluppati e offerti al mercato è impressionante. Frequenza e tempo d’utilizzo aumentano. I dati del primo trimestre 2020 evidenziano una crescita del +20% del tempo di utilizzo delle App rispetto l’anno 2019. Il numero di download, rispetto all’ultimo trimestre 2019, è cresciuto del +15% a livello mondiale. La classifica in termini di downloads:

  1. TikTok
  2. WhatsApp Messenger
  3. Facebook
  4. Instagram
  5. Facebook Messenger

Dato l’enorme crescita del mercato delle App con un utilizzo in costante aumento, il Garante per la Privacy ha ritenuto opportuno pubblicare un pratico documento . Tali linee guida mirano ad un utilizzo più consapevole delle applicazioni per dispositivi mobili. Poiché troppo spesso l’utente medio trascura gli importanti aspetti di sicurezza a fronte di una maggiore immediatezza d’uso.

L’offerta delle App cresce e la sicurezza diminuisce?

Possiamo dire quindi che sia il numero alle applicazioni sia l’utenza e il tempo d’utilizzo sono in costante crescita. Ma aumenta anche la sensibilizzazione verso la protezione dei propri dati? Pare di no! Da un lato a causa delle informative troppo lunghe e incomprensibili dall’altro per mancanza d’informazione sui diritti e rischi, oltre alla superficialità dell’utente stesso.

Vediamo quindi uno dei principi fondamentali: l’informazione. In base al regolamento GDPR lo sviluppatore di App deve spiegare precisamente quali dati verranno raccolti e come verranno utilizzati e conservati. Tale informativa fornita durante lo scarico dell’App risulta troppo spesso incomprensibile per una persona “normale”. La lunghezza del documento, l’assenza di traduzione dal inglese e la presenza di rinvii a documenti esterni sono ulteriori ostacoli a una corretta informazione.

Vi consigliamo in ogni caso, di verificare sempre chi sarà a trattare i dati raccolti e per quale scopo. Inoltre, informatevi se i vostri dati verranno ceduti o condivisi a terze parti e per quanto tempo verranno conservati nelle banche dati della società proprietaria dell’app.

Nel caso in cui l’applicazione indichi soltanto alcuni dati personali come indispensabili, si consiglia di fornire soltanto quelli. In caso contrario, alcuni di questi dati potrebbero essere diffusi automaticamente tramite canali social. Opportuno quindi, se possibile, effettuare una verifica nelle impostazioni dei social network a cui si è iscritti e se esiste la possibilità di disattivare questa funzione.

Salvare i dati nelle App è comodo ma pericoloso

Le utilità delle App sono molteplici e spesso ci rendono le nostre attività quotidiane più facile e veloce. Tuttavia ricordiamo che, per quanto possa essere comodo, alcuni dati in particolare non andrebbero mai memorizzati nelle applicazioni delicati come per esempio quelle bancarie. Tra i dati da non salvare sono sicuramente da citare: nome utente, password e PIN. Anche se i servizi bancari proteggono i dati dei propri clienti tramite sistemi di autenticazione a più fattori e l’utilizzo di PIN dispositivi per effettuare pagamenti o altre operazioni rilevanti, è consigliata la massima prudenza in questo ambito.

Altri dati particolarmente sensibili da menzionare, di cui le app spesso richiedere accesso sono i file multimediali memorizzati sul dispositivo. Fotografie personali, video privati e file audio potrebbero finire nelle mani sbagliate, così come anche i dati relativi alla tua posizione rilevata tramite satellite. Il consiglio è di valutare volta in volta l’opportunità di fornire il consenso all’accesso a tali dati e di non concedere l’accesso per default.

Vale a questo punto la pena ricordare, che ogni utente di qualsiasi tipo di applicazione deve avere per legge sempre la possibilità di scelta tra dare e non dare il consenso. Laddove questa possibilità non vi è data sarà meglio evitare tale applicazione.

I rischi di alcune App e dei Social

Il Garante per la Privacy pone particolare attenzione non solo ai social network ma anche alle app che sfruttano software AI per modificare foto e video (aggiungendo filtri ed effetti speciali) oppure scambiare il proprio viso con quello di un VIP, come per esempio Face swapping e After Effects. I dati raccolti sono infatti utilizzati per creare file falsi capaci di recare danno alla reputazione altrui. L’esempio che ha fatto scalpore al livello mondiale è il fenomeno “deepfake” che è nato da circostanze simili. Ricordiamo che dati apparentemente meno importanti come le immagini personali, possono essere utilizzati da Criminal Hacker per la ricostruzione di dati biometrici, tale dati che permettono l’accesso alle App o sbloccare il telefono.

Le App social invece possono, poichè è previsto dai termini d’uso, condividere con terzi la tua posizione tramite rilevamento GPS del dispositivo. Tra questi risultano ovviamente le app più comuni e che fanno capo ai social più utilizzati a livello mondiale. Citati dati possono essere concessi facoltativamente alle app, dato che vengono raccolti per migliorare il servizio offerto. Sarà sufficiente, ma sopratutto consigliato, accedere alle impostazioni dell’app e verificare quali autorizzazioni sono state concesse nella sezione “Geolocalizzazione”.

Utilizzo delle App da privati e professionisti

Anche in queste App, i consensi facoltativi riguardano quelli relativi all’uso della fotocamera e l’accesso video/audio. Nota importante per privati e professionisti: a rispetto della normativa sulla privacy è sempre opportuno chiedere il consenso di tutte le persone riprese prima di diffondere online le loro immagini o altri dati sensibili.

Particolare attenzione va posta anche sulle App di dating, appuntamenti online e quelli di fitness. Tali applicazioni, per il loro scopo particolare, necessitano di dati personali particolari, come lo stato relazionale, le preferenze sessuali, dati di salute come pressione sanguigna o frequenza cardiaca. A questi si aggiungono spesso i dati di localizzazione per circoscrivere l’area d’abitazione o per tracciare percorsi di allenamento.

È chiaro che anche in questi casi si raccomanda di controllare a priori a chi potranno essere trasmessi tali dati e con quali finalità. Inoltre, i dati relativi all’allenamento potranno essere condivisi (manualmente o automaticamente sui social). Utilizzando tale App consigliamo di verificare la sezione “Impostazioni” per decidere se attivare la condivisione automatica e con chi condividere tali dati. Quindi risulta fondamentale riflettere anche qui a chi prestare il consenso all’utilizzo e alla condivisione dei propri dati. Ma va concesso comunque solo nel caso in qui è espresso precisamente lo scopo. In ogni caso, ognuno può prevenire e ridurre i rischi di sicurezza prima di scaricare e installare un App sul proprio dispositivo.

Alcuni accorgimenti consigliati per i social network e le app:

  • Impostare password complesse e sicure, aggiornandole costantemente
  • Aggiornare tempestivamente le applicazioni e il sistema operativo del dispositivo
  • Installare antivirus aggiornatòicon funzioni di protezione dei dati personali
  • Verificare la provenienza dell’applicazione e verificare la sua affidabilità anche tramite recensioni
  • Differenziare gli accessi tra maggiorenni e minorenni sullo stesso dispositivo
  • Leggere sempre attentamente i termini e le condizioni d’uso

Attenersi scrupolosamente alle raccomandazioni del Garante

Collegandoci a quanto sta succedendo in questi giorni sui Social network riguardo l’annuncio di WhatsApp di aggiornare la propria Informativa sulla privacy, si direbbe che le precauzioni non bastino. Possiamo trovare in rete le più svariate speculazioni e ipotesi che, andando a leggere attentamente l’annuncio ufficiale, si verificano tutte false o scorrette.

A questo punto ci viene quasi spontanea la domanda a quale scopo allora vengono pubblicate tale falsità che, come si è verificato, porta ad una fuga d’utenti da WhatsApp verso altre app di messaggistica istantanea come Messenger o Signal.

Come verificare quale app è sicura?

Va detto subito che, correre dietro a un’unica opinione o una pubblicazione senza verificare la fonte e magari incrociare le informazioni con altre fonti, non può essere la strada più sicura.

Come già riportato sopra, anche e soprattutto nei social network ci vuole un pò di buon senso, di cura e attenzione verso i propri dati personali oltre ai requisiti tecnici che vanno offerti da tale applicazioni. Vediamo quindi di che requisiti si tratta e chi ne dispone e chi no.

Requisito fondamentale per la sicurezza dei nostri dati online è la crittografia end-to-end (E2EE) per impostazione predefinita. Ciò significa: che si tratta di un sistema di comunicazione cifrata nel quale solo le persone che stanno comunicando possono leggere i messaggi.

Quindi prima di lasciare WhatsApp per le annunciate modifiche nell’Informativa sulla privacy che, tra l’altro, non riguarda gli utenti europei e che pare siano state comunque bloccate, vale la pena verificare preventivamente le altre App.

Telegram, Signal e Facebook Messenger

Telegram ha registrato in 72 ore oltre 25 milioni di nuovi iscritti, utenti spaventati da qualcosa di non ben definito ma chiamato Privacy e fuggiti da WhatsApp. Ma Telegram non è crittografato end-to-end per impostazione predefinita a differenza di Signal che dispone della crittografia end-to-end per impostazione predefinita. Signal è un classico prodotto “messenger” crittogaraffato e2e mentre Telegram si comporta più come un social network più messenger e non è e2e per impostazione predefinita, nemmeno Facebook Messenger lo è.

Quindi recapitolando abbiamo WhatsApp che ha il segnale sempre criptato end-to-end per amici e familiari. Il backup va fatto localmente nel posto che decide l’utente con le misure di protezione definite dallo stesso. È noto che WhatsApp salva e condivide con la company Facebook i Metadati delle chat.

Poi c’è Telegram che non è e2e per predefinizione ma spiega perfettamente cosa cifrano e cosa no. Quindi hanno scelto di preservare usabilità e sicurezza, in questo modo per le chat che non contengono informazioni sensibili gli utenti possono usufruite di backup in cloud e trasferire facilmente le loro chat su un altro device.

In più abbiamo Signal che offre solo la crittografia e2e per impostazione predefinita. Ma se il proprio dispositivo muore si perdono tutte le informazioni delle chat perché, per fare la migrazione, servono le chiavi fisiche salvate nel device. Pare quindi, che la scelta migliore sia quella di Telegram. Ma solo se l’utente legge molto attentamente le istruzioni prima di usare il prodotto al fine di scegliere le modalità di protezione più adatte.

Le modifiche annunciate di WhatsApp

Per completare questo post con tutte le informazioni rimane ancora da chiarire quali dovevano essere le modifiche annunciate da WhatsApp.

Innanzitutto va detto che l’aggiornamento dell’Informativa non riguarda in alcun modo la privacy dei messaggi scambiati tra amici e famigliari. Tale modifiche riguardano lo scambio di messaggi con le aziende per offrire maggiore trasparenza sulle modalità di raccolta e l’utilizzo dei dati da parte di WhatsApp. Quindi riguarda i servizi di WhatsApp Business.

Ricordiamo che nè WhatsApp nè Facebook possono leggere i messaggi personali o ascoltare le chiamate WhatsApp effettuate tra amici e famigliari. Tutti gli scambi d’informazioni rimangono personali perché i messaggi sono crittografati end-to-end per impostazione predefinita. WhatsApp non tiene traccia delle persone chiamate o a cui si invia messaggi per minimizzare il rischio per la sicurezza dei dati e quindi per la tutela di oltre due miliardi di utenti.

La localizzazione

Lo stesso vale per le posizioni condivisi dall’utente, tale informazione condivisa su WhatsApp è protetta dalla crittografia e2e, il che significa che nessuno può vederla ad eccezione delle persone con cui è stato condivisa.

Inoltre sui social network non vanno condivisi i dati contatti degli utenti con Facebook. In base al consenso fornito dall’utente Facebook può accedere solo ai numeri di telefono della rubrica. In nessun modo tali numeri vanno condiviso con alte applicazioni offerte da Facebook. Lo stesso vale per i gruppi che rimangono privati e sono protetti dal servizio spam e usi impropri. Un ulteriore servizio di protezione per i messaggi istantanei e l’opzione “effimeri” che rende i messaggi non più visibili dopo l’invio.

Infine, per adempire ai requisiti del GDPR, l’utente può vedere e scaricare i propri dati direttamente sull’account dell’applicazione e chiedere il trasferimento e la cancellazione di tutti i dati contenuti.

Resta sempre vero il fatto che l’informativa fornita da WhatsApp è piuttosto incomprensibile per un semplice utente. È capire qualcosa tra regole che non si applicano in Europa e clausole invece applicabili, resta un’impresa. Certo è che il GDPR prevede che il consenso vada inteso come “qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento”.

Conclusioni

Se WhatsApp quindi dovesse rimanere con la propria intenzione dell’avviso “o si accetta subito le nuove regolamentazioni o al massimo si può attendere fino all’8 febbraio 2021” si tratterebbe di un “doveroso consenso” e quindi palesemente non in sintonia con quanto previsto dalla normativa europea.

Staremo a vedere che cosa succederà nei prossimi giorni. Pare comunque che sia giunto un chiarimento da un porta voce di WhatsApp in merito alle modifiche che interesserebbe l’area UE. Tale chiarimento riporta:”Non ci sono modifiche alle modalità di condivisione dei dati di WhatsApp nella Regione europea, incluso il Regno Unito, derivanti dall’aggiornamento dei Termini di servizio e dall’Informativa sulla privacy.”

Nota: Il mondo digitale si sta muovendo verso una filosofia “mobile first”, dove tutto transita da e verso gli Smartphone. Tuttavia, il livello di attenzione che viene prestato a quello che ci viene richiesto e ciò che concediamo, in termini di privacy, non è sufficientemente alto. I Criminal Hacker si sono già accorti da tempo di questa lacuna e si stanno muovendo per approfittarne, quindi sta ad ognuno di noi a reagire!

Se riscontrate che anche soltanto un tassello ancora manca e desiderate risolvere tutte le eventuali criticità, cliccate qui sotto e prenotate la vostra consulenza.

dpo data privacy officer

Quanto costa un DPO?

Come valutare i costi e le competenze di un DPO?

La normativa GDPR chiede, come ormai noto, una serie di adempimenti normativi per garantire la protezione dei dati personali. Fra le misure da considerare risulta anche la scelta e nomina di un DPO (Data Protection Officer). La 1.domanda che ci viene posta, ancora prima di verificare se tale figura sia d’obbligo è: quanto costa un DPO? Sebbene non per tutte le organizzazioni la nomina sia obbligatoria, è altamente consigliabile farsi assistere da un professionista. Ebbene si, anche qui il titolare ha la scelta. Può individuare all’interno una figura competente in materia oppure può incaricare un consulente professionista esterno. Analizziamo quindi brevemente il ruolo del DPO e le competenze correlate, in modo da valutare come procedere nella determinazione del compenso secondo le tariffe di mercato e le possibili forme contrattuali.

Quali sono le competenze del DPO e come valutare quanto costa

La figura del DPO, in italiano Responsabile per la protezione dei dati, è disciplinata dal Regolamento 16/679. Tale figura professionale viene posta come consultiva per informare e consigliare il Titolare del trattamento sugli obblighi derivanti dal Regolamento europeo e dalle altre disposizioni dell’Unione in materia. Il DPO ha anche un ruolo di verifica riguardo gli aggiornamenti che l’Unione Europea emette. Inoltre è coinvolto nella formazione e sensibilizzazione del personale che elabora i dati personali. Per le attività a lui assegnate e le competenze richieste, rappresenta una figura di alto spessore professionale, continuamente aggiornato e con una considerevole esperienza. Infatti, il DPO deve avere competenze multidisciplinari che abbraccino gli ambiti:

  • legali, per quanto riguarda le normative sulla privacy
  • organizzative, per quanto riguarda i processi e procedure della corretta e proficua gestione dei dati
  • tecnico-informatico, per quanto riguarda la sicurezza dei sistemi, la protezione e la gestione, trasmissione, stoccaggio e recupero dei dati
  • manageriale, per quanto riguarda l’analisi di rischio, la pianificazione by design, la comunicazione efficace e l’orientamento agli obiettivi. 

Quali sono le tariffe per stabilire il costa del DPO

Come in ogni altro ambito professionale, anche la valutazione del costo di un DPO dipende da diversi fattori. Poiché non è pensabile che possa esistere un “tariffario” generale giusto per tutte le situazioni. Perché sarebbe molto caro per le realtà piccole e tanto economico per grandi gruppi d’aziende. Il costo quindi, dovrà essere commisurato alle diverse realtà aziendali. Inoltre, la scelta di nominare un DPO con o senza il vincolo di esclusività può incidere significamente sul costo. Viceversa, avere un DPO, interno o esterno, dedicato alla propria organizzazione implica la scelta di un profilo con competenze specifiche relative al proprio settore aziendale. È chiaro che ciò influenza anche il compenso del Data protection officer.

Tutto compreso o tutto extra?

Se il tariffario comprende anche gli audit, la verifica delle competenze dei dipendenti, e tutte le altre attività periodiche richieste al DPO, il costo potrebbe essere ancora più alto. Poiché in generale vi sono diversi fattori da considerare per una giusta valutazione. Infatti, la tariffa può non essere fissa ma correlata al tipo di intervento che il DPO deve operare nell’azienda. Quindi una quota minima fissa per la consulenza nonchè reperibilità costante alla quale si aggiungono i costi variabili a seconda:

  • del tipo, la grandezza e l’attività che svolge l’azienda
  • il numero dei dipendenti, la complessità dei trattamenti
  • la tipologia e la quantità dei dati trattati, le procedure operative aziendali
  • la presenza di un sistema di gestione certificativo
  • il tipo di infrastruttura IT abilitante e la potenziale esposizione dell’azienda a rischi di Data Breach. 

Non meno importanti sono le indicazioni dall’Autorità Nazionale Anticorruzione (ANAC). L’Autorità specifica per le PA il ricorso ad appalto di gara per l’assegnazione del servizio DPO con “la previsione di una durata del contratto che sia congrua rispetto agli obiettivi individuati e alle prestazioni richieste al contraente”. Ciò significa, come spiega il presidente ASSO DPO, Matteo Colombo, che si rende necessario “predisporre gare con più lungimiranza, ad esempio senza più prevedere un affidamento per un DPO esterno per un solo anno, ma pluriennale: in questo modo il Data Protection Officer può svolgere meglio il suo lavoro”.

Servizi minimi richiesti al DPO

La scelta di un DPO che possiede specifiche competenze tecniche e giuridiche si basa su quanto esposto nell’art. 39 GDPR. Vediamo quindi alcuni dei servizi minimi richiesti al DPO, elencati nell’articolo 39:

  • sorvegliare l’osservanza del GDPR, nonché delle ulteriori normative sul trattamento dei dati personali;
  • provvedere alla formazione del titolare/responsabile del trattamento e del personale deputato al trattamento dei dati personali;
  • fornire un parere in merito alla Valutazione d’impatto sulla protezione dei dati ex art. 35 GDPR e sorvegliarne lo svolgimento;
  • fornire un parere in merito a ulteriori questioni di volta in volta poste alla sua attenzione da parte del titolare/responsabile;
  • fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento di dati e, ove necessario, effettuare consultazioni presso l’autorità garante.

E’ evidente che la complessità di tali compiti sia strettamente dipendente dalla dimensione e dalla tipologia dei trattamenti posti in essere. Di conseguenza, come spiegato prima, influenzerà inevitabilmente anche il compenso annuale del DPO.

Un DPO unico oppure un team di esperti GDPR?

In situazioni particolarmente complesse, è opportuno valutare il coinvolgimento di un team di esperti nel GDPR, piuttosto di nominare un singolo DPO. In effetti, il titolare può anche optare di costituire una vera e propria task force di esperti. Il team, lavorando congiuntamente con il DPO possono insieme garantire la compliance al GDPR. Il titolare può scegliere quindi di:

  • Costituire un team di esperti all’interno dell’azienda, che si occupa di seguire il processo di adeguamento al GDPR nel corso del tempo e inoltre comunichino col DPO sottoponendoli alla valutazione le scelte aziendali compiute e quelli da compiere.
  • Rivolgersi ad un DPO esterno, dotato di un proprio team di esperti, specialisti in ogni singolo settore. Ad esempio una società di consulenza che fornisce i servizi inerenti al GDPR, come elencati sopra.

La seconda ipotesi di scelta, è consentita dal GDPR, che permette al titolare e al responsabile di rivolgersi a società strutturate per ottenere i servizi richiesti dalla normativa europea.

I costi della compliance al GDPR

A questo punto dobbiamo fare luce sui costi della compliance al GDPR. È doveroso evidenziare che i costi connessi alla figura del DPO, ovviamente dotato di tutte le competenze specifiche in materia, nonché dei soggetti interni impegnati a garantire il rispetto della normativa, non siano da considerarsi “superflui”. Dobbiamo anche ricordare il fatto che gli stessi apportano al titolare e quindi all’azienda un valore aggiunto, nella maggior parte dei casi decisamente superiore al proprio costo. Le ragioni di questa affermazione?

  1. Un’impresa compliant alla normativa europea 679/16 è molto più competitiva sul mercato. Inoltre ingenera nel esistente e potenziale cliente maggiore fiducia rispetto alla concorrenza che, invece, non saranno in grado di fare altrettanto.
  2. La compliance al GDPR eviterà al titolare di incorrere in pesanti sanzioni previste dal Regolamento (di sicuro maggiori rispetto ai costi di adeguamento).
  3. Dati acquisiti e gestiti in modo compliant alla normativa europea rendono le azioni di marketing, acquisizione clienti, customer saddifacion decisamente più redditizi.
  4. Un’azienda compliant rafforza maggiormente la reputazione positiva che, nel caso di data breach, causato da una malagestione, potrebbe essere distrutta in un batti d’occhio.

Conclusioni

In questo articolo ti abbiamo fornito una carrellata di informazioni su come valutare le competenze e il costo del DPO. In più abbiamo evidenziato i vantaggi derivanti da un’oculata verifica e scelta del DPO e del team. È chiaro che una buona consulenza si basa anche, o sopratutto, su un’ottima comunicazione e intesa tra le parti. La fiducia nel confronto del DPO è fondamentale e rende la collaborazione efficace e proficua. L’obbiettivo di ogni impresa dovrebbe essere l’efficace e sano rapporto con il DPO e il team, la protezione dei dati di dipendenti e clienti, in virtù di salvaguardare la reputazione aziendale e di massimizzare la fiducia dei clienti. 

Ora tocca a te! Prova a valutare la tua situazione aziendale e metti in pratica uno o tutti di questi suggerimenti che ti abbiamo fornito in questo articolo al fine di migliorare la compliance della tua attività.

Siamo curiosi dei tuoi risultati… e a disposizione per chiarire i tuoi dubbi.

gdpr monitoraggio

GDPR: come si svolge il monitoraggio?

L’importanza dell’audit nell’ambito privacy

Lo strumento utile a disposizione del titolare del trattamento dei dati è l’Audit. Con tale strumento dimostra la propria accountability e l’adeguamento al GDPR. Come già spiegato in altre occasioni, la procedura dell’audit richiede professionisti specializzati e il rispetto di diverse fasi operative. Non si può improvvisare!

Un termine chiave e per tanti sicuramente nuovo, nell’ambito della protezione dei dati, è l’Accountability. Ma di che cosa si tratta? L’art.5.2 del GDPR enuncia che il titolare è il soggetto a cui compete il rispetto dei principi generali di trattamento. Lui deve essere in grado di “comprovarlo” attraverso misure tecniche ed organizzative adeguate. Il concetto di accountability (che significa responsabilità) viene ulteriormente rafforzato dall’art.24 che afferma che tali misure devono essere riesaminate ed aggiornate. Quindi le nostre parole chiave oggi sono: responsabilità, controllo, aggiornamento e mantenimento. Ciò significa che il titolare del trattamento deve mettere in atto un programma di monitoraggio dei propri sistemi di protezione dei dati con il quale tiene aggiornato nel tempo i processi. Strumento ottimale per tale scopo è l’attività di audit.

Prevenire non mitigare grazie al GDPR

Teniamo quindi presente che il GDPR non prevede un adeguamento una tantum, ma richiede una manutenzione continua. Come risulta in uno studio a cura della Commissione Europea, del 2019, l’Italia occupa il penultimo posto in merito alla conoscenza della norma e alle attività svolte dalle autorità di vigilanza. Tra gli elementi carenti risulta la mancanza dei processi documentati e dimostrabili, la carente gestione dei reclami e l’assenza dei registri di trattamento dei dati. È quindi evidente il fatto che si deve lavorare ancora molto per riuscire a colmare il gap esistente tra adempimento formale e adempimento sostanziale. Una lacuna che spesso si verifica nelle aziende, è proprio la mancanza di verifiche, di piani di controlli preventivi. 

Va ricordato che si deve prevenire il rischio e non mitigare. Perché la maggior parte dei data breach accadono proprio a causa della mancanza dei controlli periodici adeguati. Evitare tale disastri sarebbe quindi possibile, se si adottasse un efficace comportamento “proattivo”. A rafforzare l’importanza di questo approccio preventivo e anche questa affermazione di Stefano Rodotà: “i dati personali degli oltre 500 milioni di abitanti dei 28 Paesi dell’Unione Europea nel 2020 avranno un valore commerciale stimato attorno ai 1.000 miliardi di euro”. Un dato che esprime chiaramente quanto sia accattivante entrare in possesso di questi dati come quanto sia quindi fondamentale proteggerli.

Il valore dei dati protetti dal GDPR

I dati personali rappresentano un enorme valore per l’azienda e vanno di conseguenza custoditi e protetti, non utilizzati a piacimento. Risulta quindi di fondamentale importanza conoscere le criticità legate al trattamento dei dati personali nel operato quotidiano. Non solo per proteggerli ma anche perché rappresenta un “asset” di competitività sul mercato.

Sorge a questo punto la domanda: un titolare può dimostrare la propria “accountability” e mantenerla aggiornata nel tempo? La risposta è chiara e netta: Sì. Il titolare può dimostrare la sua responsabilità adottando un approccio globale di gestione dei dati personali. Questa gestione deve prevedere un piano di verifiche e monitoraggio del proprio sistema della protezione dei dati personali. Volto ad individuare preventivamente eventuali carenze e individuare quelle azioni di rimedio utili a garantire nel tempo un adeguato livello di conformità al GDPR.

Che cos’è l’audit

Vediamo quindi che cos’è l’audit nel ambito privacy e GDPR. Si tratta di un processo di valutazione indipendente che si svolge periodicamente sulla base di un’attività di campionamento. Lo scopo è di ottenere evidenze relative ad un determinato contesto di analisi e valutarle con obiettività. Risultato della verifica sarà di stabilire in quale misura i criteri prefissati siano stati raggiunti o meno. Il concetto di audit può essere applicato a molte attività. Comprese quelle della gestione dei dati, fungendo da strumento di verifica, come richiesto dal GDPR. Utile per tale attività risulta essere la norma ISO 19011. Si tratta di una linea guida sull’audit di sistemi di gestione, nonchè gestione dei programmi di audit e la conduzione degli stessi.

La norma può essere applicata a qualsiasi organizzazione che ha l’esigenza di pianificare e condurre un audit interno o esterno di sistemi di gestione. L’audit è lo strumento più importante per valutare se i requisiti vengono applicati in modo coerente e con regolarità nell’ambito dei processi e se il sistema produce i risultati desiderati.

Chi è l’auditor e qual è il suo ruolo nell’adeguamento al GDPR

Il Lead auditor e l’auditor sono membri di un team che esegue appunto l’audit. Il lead auditor è il responsabile del team e, una volta incaricato, tutte le singole attività sono sotto la sua responsabilità, sulla base di quanto previsto dalla procedura di riferimento. L’auditor invece esegue le direttive del responsabile del team e accetta le sue decisioni. Diamo per scontato che tale figure abbiano le caratteristiche personali e le competenze per effettuare un audit nell’ambito GDPR. Si tratta quindi di esperti della data protection sia a livello giuridico che informatico. Colui che svolge il ruolo di auditor, deve essere oggettivo, imparziale e, soprattutto, non deve avere conflitti di ruolo con l’oggetto dell’audit. In pratica, non deve avere responsabilità dirette con l’organizzazione o con il dipartimento interessato dall’attività di valutazione.

Una caratteristica molto importante dell’auditor è la spiccata capacità comunicativa. Una buona capacità di gestione delle risorse umane in modo assertivo, oltre all’abilità di persuadere grazie alla condivisione più che al mero e burocratico richiamo a prescrizioni e regolamenti, rendono il quadro professionale completo. Altrettanto fondamentale è lo spirito di osservazione e la capacità di giungere tempestivamente a conclusioni basate sull’analisi e su ragionamenti logici. Importante ricordare che le informazioni relative all’audit sono riservate e non devono essere utilizzate impropriamente per vantaggi personali.

I compiti del lead auditor

Quali sono i primari compiti che competono al responsabile dell’audit?

  • assicurasi della fattibilità dell’audit
  • scegliere i membri del team
  • prendere contatti con il referente dell’organizzazione
  • gestire tutta la comunicazione durante tutto il processo
  • raccogliere la documentazione e approfondire eventuali normative applicabili
  • effettuare l’analisi documentale
  • definire il programma di audit
  • preparare le liste di controllo di audit
  • gestire il team
  • gestire le riunioni di apertura e chiusura dell’audit
  • formulare le risultanze
  • redarre e gestire l’approvazione del rapporto di audit

Gli obiettivi e il piano dell’audit

L’obiettivo di un audit deve essere fissato in modo chiaro e condiviso e può essere rivolto per esempio alla:

  • verifica del grado di conformità alla normativa vigente
  • verifica del grado di conformità tra data protection policy e comportamenti dei dipendenti
  • accertamento del livello di conformità al GDPR e alle policy aziendali di un fornitore di servizi, al fine di valutare che i requisiti dichiarati e concordati nella fase iniziale di stesura dell’accordo, sia stati rispettati e mantenuti nel tempo
  • accertamento dell’efficacia di azioni correttive a seguito di una “non- conformità” riscontrata durante un precedente

Il piano d’audit per il GDPR è parte fondamentale per una corretta gestione dell’attività di verifica. Tale piano va condiviso durante la riunione di apertura, quindi prima di iniziare l’attività di audit. In questo modo a tutte le risorse coinvolte sarà possibile comprendere al meglio le attività che si andranno a svolgere. Vediamo di seguito i punti del piano formalizzato preventivamente:

  • gli obiettivi da raggiungere
  • i criteri adottati per raggiungere gli obiettivi e i documenti di riferimento
  • il campo operativo 
  • giorni e i luoghi ;
  • il tempo stimato necessario per le verifiche sul posto
  • la check-list di domande

Il report finale

La conduzione dell’Audit in ambito GDPR, prevede la raccolta e la verifica delle informazioni attraverso l’esame documentale, oltre alle osservazioni dirette e le interviste ai referenti del settore/processo da auditare. Tutte le evidenze raccolte devono essere documentate e verificabili, basate su un campione delle informazioni disponibili poiché l’audit si svolge in un lasso di tempo limitato. Le conclusioni, devono essere documentate attraverso un report finale. Le risultanze dell’audit, che possono essere classificate in non conformità, osservazioni e opportunità di miglioramento, commenti e raccomandazioni devono essere dettagliatamente precisate. In sintesi, i contenuti principali del rapporto di audit sono:

  • obbiettivi, campo di applicazione e criteri dell’audit
  • sedi, luogo e data in cui si è svolto l’audit
  • team di audit e ruoli ricoperti
  • rappresentante dell’organizzazione additata e altre risorse intervistate
  • risultanza dell’audit e la loro classificazione
  • conclusioni dell’audit e valutazioni in merito
  • azioni correttive e azioni di miglioramento

I principi etici dell’attività di audit

Poiché l’auditor si possa trovare in realtà complesse e a volte apparentemente paradossali e non operando da solo ma in team, risulta importante riportare anche i punti fermi di cui si deve conformare l’attività di auditing per potersi definire tale. Una corretta gestione richiede:

  • integrità
  • presentazione imparziale
  • adeguata diligenza/ professionalità
  • Riservatezza
  • Indipendenza
  • approccio basato sull’evidenza

Condurre un audit interno per l’adeguamento al GDPR può essere un compito complesso, sia per un’impresa di grandi dimensioni, sia per una piccola impresa che non possiede le competenze necessarie. La fiducia nel processo di audit e la capacità di raggiungere gli obiettivi dipende dalle competenze delle persone coinvolte. Questa attività può essere svolta sia da un privacy officer interno sia da un auditore esterno. Al DPO, se è stato nominato, è riservato il compito di contribuire alla definizione del piano di verifiche. Sicuramente la scelta più efficace è quella di individuare un team multidisciplinare, che garantisce le competenze adeguate di ogni settore.

L’ampiezza del programma di audit, in termine di numero di attività di verifica da svolgere, nonché le risorse da impiegare, dipendono dalla complessità dell’azienda oltre dalla rilevanza dei trattamenti svolti. Tuttavia, l’adozione un piano di verifiche documentate del proprio sistema di protezione dei dati ha un’importanza strategica nella dimostrazione della responsabilità del Titolare. Inoltre risulta essere utile nel caso di verifica da parte delle autorità di controllo. L’audit aiuta a garantire la competitività sul mercato attraverso un adeguato e sempre aggiornato livello di conformità al GDPR

Per individuare le aree di copertura dell’adeguamento al GDPR da parte del titolare, puoi chiedere il nostro SCHEMA DI VERIFICA. clicca qui

Conclusioni

Partecipare ad un audit GDPR nel ruolo dell’additato è stressante, effettuarlo lo è molto di più. Eseguire l’attività di audit richiede una costante concentrazione, oltre ad un atteggiamento mentale da auditore e la capacità di dare nulla per scontato.

L’audit dovrebbe durare per il tempo strettamente necessario, essere svolto in modo sobrio e pratico, in un clima disteso, aperto e collaborativo. Richiede di lasciare spazio alla professionalità e capacità intuitiva degli auditori, più che al rigore formale. In più serbe focalizzare i gap su cui orientare gli sforzi per migliorare i comportamenti e/o per ottimizzare le procedure.

A riguardo degli obiettivi perseguiti con il GDPR è importante vigilare affinché le attività di verifica siano funzionali al raggiungimento di essi e non residui di regole superate. Tale orientamento non dovrebbe mai essere una mera esecuzione dell’adempimento formale e le attività dovrebbero essere focalizzate alla tutela dei valori, degli asset e del know-how dell’organizzazione.

Eseguire e rendicontare un audit in modo efficiente richiede capacità di sintesi, problem soling e creatività: il lavoro può dare grandi risultati e soddisfazioni.

Se riscontrate che anche soltanto un tassello ancora manca e desiderate risolvere tutte le eventuali criticità, cliccate qui sotto e prenotate la vostra consulenza.