protezione efficace dei dati

“I tuoi dati sono un tesoro”: il video del Garante che emoziona e fa riflettere

La campagna di sensibilizzazione e formazione del Garante per la privacy è un video emozionante, chiaro e comprensibile che mette in risalto la vulnerabilità di ogni singolo.

Il video del Garante per la privacy “I tuoi dati sono un tesoro”: https://youtu.be/DxQEk_G5gfU

La protezione dei dati personali non è soltanto un compito per le aziende e autorità, ma riguarda tutti. In questi ultimi tempi si è visto chiaramente come il mondo reale si sti spostando verso il mondo digitale. Gli incontri limitati, le informazioni passate tramite computer o cellulare e il tempo passato in casa a curiosare su Internet, hanno portato ad un aumento mostruoso di informazioni e dati in rete.

Di conseguenza è aumentata anche la fuga dei dati, l’intrusione illecita nei sistemi e l’accessibilità ai dati personali.

In parte dovuto all’ignoranza in materia delle persone, ossia la cieca fiducia nei programmi e sistemi informatici da Facebook a TikTok, da Google a Zoom. Dall’altra parte dovuta allo sviluppo frettoloso e superficiale di alcuni sistemi messi sul mercato, come TuPassi o Immuni, in preda della situazione attuale.

Il Garante della privacy italiana, come tutti i garanti in Europa, svolge un enorme lavoro al fianco delle persone per difendere la loro riservatezza e la loro libertà. Un lavoro che tuttavia deve essere supportato da ogni singolo individuo quotidianamente perché i dati personali hanno un enorme valore.

Vediamo nel dettaglio il messaggio del video che vuole rendere consapevole le persone con lo scopo di proteggere il tesoro dei dati INSIEME.

  • Con te fin dall’inizio
  • Dati personali: nome, data di nascita, gruppo sanguigno, codice fiscale
  • Distanza di cortesia: la semplice linea di distanza che dà valore alla tua privacy
  • Social Network e Web: intervengono affinché possano essere sicuri per tutti (phishing)
  • I minori: scoprire il mondo in sicurezza proteggendosi da cyberbullismo e altri rischi
  • Condivisioni online: informazione e controllo affinché avvenga in modo sicuro, proteggendo la identità digitale 
  • Protezione del Diritto alla libertà: videosorveglianza intelligente, raccolta dati biometrici, tracciabilità e profilazione
  • Pareri alle istituzioni al fine di ottenere norme che rispettano la privacy di ognuno
  • Progettato nel futuro: Auto connesse, Smart City, riconoscimento facciale, intelligenza artificiale

I TUOI DATI SONO UN TESORO DA PROTEGGERE INSIEME 

Se ora ritieni opportuno verificare la tua attività riguardo la corretta gestione dei dati personali, oppure se desideri una cooperazione di fiducia e a lungo termineuna reperibilità costante e un buon servizio, contattaci subito.

Il nostro team, composto da molteplici esperti, offre numerosi servizi e diversi corsi di formazione inerenti al GDPR, tutti fruibili con la formula “chiavi in mano”.

Saremo felici di spiegarti, in un colloquio personale, i nostri servizi e soluzioni su misura per le tue esigenze!

social network

Social Network e App: ecco perché dovresti proteggere i tuoi dati su WhatsApp, Messenger e Facebook

L’importanza dei dati personali nelle App e Social media

La diffusione dei social network e degli smartphone è oramai capillare e ogni utente ha in media 80 applicazioni installate sul proprio dispositivo. Negli ultimi tre anni il mercato collegato alle app ha avuto una crescita esponenziale passando da un valore globale del 2016 di 1.300 miliardi di dollari ad uno stimato nel 2023 di oltre 6 miliardi di dollari. Questo trend di crescita ovviamente è dovuto alla diffusione degli accessi a internet da smartphone che di fatto hanno superato quelli da pc. Siamo ormai abituati a questo strumento, indispensabile per tanti nella vita quotidiana. Lo smartphone contiene le App ed è ormai diventato lo strumento fondamentale per informarsi, comunicare sui social network, divertirsi o svolgere delle attività secondarie.

L’aumento della vastità di applicazioni disponibili, la velocità con la quale i programmi vengono sviluppati e offerti al mercato è impressionante. Frequenza e tempo d’utilizzo aumentano. I dati del primo trimestre 2020 evidenziano una crescita del +20% del tempo di utilizzo delle App rispetto l’anno 2019. Il numero di download, rispetto all’ultimo trimestre 2019, è cresciuto del +15% a livello mondiale. La classifica in termini di downloads:

  1. TikTok
  2. WhatsApp Messenger
  3. Facebook
  4. Instagram
  5. Facebook Messenger

Dato l’enorme crescita del mercato delle App con un utilizzo in costante aumento, il Garante per la Privacy ha ritenuto opportuno pubblicare un pratico documento . Tali linee guida mirano ad un utilizzo più consapevole delle applicazioni per dispositivi mobili. Poiché troppo spesso l’utente medio trascura gli importanti aspetti di sicurezza a fronte di una maggiore immediatezza d’uso.

L’offerta delle App cresce e la sicurezza diminuisce?

Possiamo dire quindi che sia il numero alle applicazioni sia l’utenza e il tempo d’utilizzo sono in costante crescita. Ma aumenta anche la sensibilizzazione verso la protezione dei propri dati? Pare di no! Da un lato a causa delle informative troppo lunghe e incomprensibili dall’altro per mancanza d’informazione sui diritti e rischi, oltre alla superficialità dell’utente stesso.

Vediamo quindi uno dei principi fondamentali: l’informazione. In base al regolamento GDPR lo sviluppatore di App deve spiegare precisamente quali dati verranno raccolti e come verranno utilizzati e conservati. Tale informativa fornita durante lo scarico dell’App risulta troppo spesso incomprensibile per una persona “normale”. La lunghezza del documento, l’assenza di traduzione dal inglese e la presenza di rinvii a documenti esterni sono ulteriori ostacoli a una corretta informazione.

Vi consigliamo in ogni caso, di verificare sempre chi sarà a trattare i dati raccolti e per quale scopo. Inoltre, informatevi se i vostri dati verranno ceduti o condivisi a terze parti e per quanto tempo verranno conservati nelle banche dati della società proprietaria dell’app.

Nel caso in cui l’applicazione indichi soltanto alcuni dati personali come indispensabili, si consiglia di fornire soltanto quelli. In caso contrario, alcuni di questi dati potrebbero essere diffusi automaticamente tramite canali social. Opportuno quindi, se possibile, effettuare una verifica nelle impostazioni dei social network a cui si è iscritti e se esiste la possibilità di disattivare questa funzione.

Salvare i dati nelle App è comodo ma pericoloso

Le utilità delle App sono molteplici e spesso ci rendono le nostre attività quotidiane più facile e veloce. Tuttavia ricordiamo che, per quanto possa essere comodo, alcuni dati in particolare non andrebbero mai memorizzati nelle applicazioni delicati come per esempio quelle bancarie. Tra i dati da non salvare sono sicuramente da citare: nome utente, password e PIN. Anche se i servizi bancari proteggono i dati dei propri clienti tramite sistemi di autenticazione a più fattori e l’utilizzo di PIN dispositivi per effettuare pagamenti o altre operazioni rilevanti, è consigliata la massima prudenza in questo ambito.

Altri dati particolarmente sensibili da menzionare, di cui le app spesso richiedere accesso sono i file multimediali memorizzati sul dispositivo. Fotografie personali, video privati e file audio potrebbero finire nelle mani sbagliate, così come anche i dati relativi alla tua posizione rilevata tramite satellite. Il consiglio è di valutare volta in volta l’opportunità di fornire il consenso all’accesso a tali dati e di non concedere l’accesso per default.

Vale a questo punto la pena ricordare, che ogni utente di qualsiasi tipo di applicazione deve avere per legge sempre la possibilità di scelta tra dare e non dare il consenso. Laddove questa possibilità non vi è data sarà meglio evitare tale applicazione.

I rischi di alcune App e dei Social

Il Garante per la Privacy pone particolare attenzione non solo ai social network ma anche alle app che sfruttano software AI per modificare foto e video (aggiungendo filtri ed effetti speciali) oppure scambiare il proprio viso con quello di un VIP, come per esempio Face swapping e After Effects. I dati raccolti sono infatti utilizzati per creare file falsi capaci di recare danno alla reputazione altrui. L’esempio che ha fatto scalpore al livello mondiale è il fenomeno “deepfake” che è nato da circostanze simili. Ricordiamo che dati apparentemente meno importanti come le immagini personali, possono essere utilizzati da Criminal Hacker per la ricostruzione di dati biometrici, tale dati che permettono l’accesso alle App o sbloccare il telefono.

Le App social invece possono, poichè è previsto dai termini d’uso, condividere con terzi la tua posizione tramite rilevamento GPS del dispositivo. Tra questi risultano ovviamente le app più comuni e che fanno capo ai social più utilizzati a livello mondiale. Citati dati possono essere concessi facoltativamente alle app, dato che vengono raccolti per migliorare il servizio offerto. Sarà sufficiente, ma sopratutto consigliato, accedere alle impostazioni dell’app e verificare quali autorizzazioni sono state concesse nella sezione “Geolocalizzazione”.

Utilizzo delle App da privati e professionisti

Anche in queste App, i consensi facoltativi riguardano quelli relativi all’uso della fotocamera e l’accesso video/audio. Nota importante per privati e professionisti: a rispetto della normativa sulla privacy è sempre opportuno chiedere il consenso di tutte le persone riprese prima di diffondere online le loro immagini o altri dati sensibili.

Particolare attenzione va posta anche sulle App di dating, appuntamenti online e quelli di fitness. Tali applicazioni, per il loro scopo particolare, necessitano di dati personali particolari, come lo stato relazionale, le preferenze sessuali, dati di salute come pressione sanguigna o frequenza cardiaca. A questi si aggiungono spesso i dati di localizzazione per circoscrivere l’area d’abitazione o per tracciare percorsi di allenamento.

È chiaro che anche in questi casi si raccomanda di controllare a priori a chi potranno essere trasmessi tali dati e con quali finalità. Inoltre, i dati relativi all’allenamento potranno essere condivisi (manualmente o automaticamente sui social). Utilizzando tale App consigliamo di verificare la sezione “Impostazioni” per decidere se attivare la condivisione automatica e con chi condividere tali dati. Quindi risulta fondamentale riflettere anche qui a chi prestare il consenso all’utilizzo e alla condivisione dei propri dati. Ma va concesso comunque solo nel caso in qui è espresso precisamente lo scopo. In ogni caso, ognuno può prevenire e ridurre i rischi di sicurezza prima di scaricare e installare un App sul proprio dispositivo.

Alcuni accorgimenti consigliati per i social network e le app:

  • Impostare password complesse e sicure, aggiornandole costantemente
  • Aggiornare tempestivamente le applicazioni e il sistema operativo del dispositivo
  • Installare antivirus aggiornatòicon funzioni di protezione dei dati personali
  • Verificare la provenienza dell’applicazione e verificare la sua affidabilità anche tramite recensioni
  • Differenziare gli accessi tra maggiorenni e minorenni sullo stesso dispositivo
  • Leggere sempre attentamente i termini e le condizioni d’uso

Attenersi scrupolosamente alle raccomandazioni del Garante

Collegandoci a quanto sta succedendo in questi giorni sui Social network riguardo l’annuncio di WhatsApp di aggiornare la propria Informativa sulla privacy, si direbbe che le precauzioni non bastino. Possiamo trovare in rete le più svariate speculazioni e ipotesi che, andando a leggere attentamente l’annuncio ufficiale, si verificano tutte false o scorrette.

A questo punto ci viene quasi spontanea la domanda a quale scopo allora vengono pubblicate tale falsità che, come si è verificato, porta ad una fuga d’utenti da WhatsApp verso altre app di messaggistica istantanea come Messenger o Signal.

Come verificare quale app è sicura?

Va detto subito che, correre dietro a un’unica opinione o una pubblicazione senza verificare la fonte e magari incrociare le informazioni con altre fonti, non può essere la strada più sicura.

Come già riportato sopra, anche e soprattutto nei social network ci vuole un pò di buon senso, di cura e attenzione verso i propri dati personali oltre ai requisiti tecnici che vanno offerti da tale applicazioni. Vediamo quindi di che requisiti si tratta e chi ne dispone e chi no.

Requisito fondamentale per la sicurezza dei nostri dati online è la crittografia end-to-end (E2EE) per impostazione predefinita. Ciò significa: che si tratta di un sistema di comunicazione cifrata nel quale solo le persone che stanno comunicando possono leggere i messaggi.

Quindi prima di lasciare WhatsApp per le annunciate modifiche nell’Informativa sulla privacy che, tra l’altro, non riguarda gli utenti europei e che pare siano state comunque bloccate, vale la pena verificare preventivamente le altre App.

Telegram, Signal e Facebook Messenger

Telegram ha registrato in 72 ore oltre 25 milioni di nuovi iscritti, utenti spaventati da qualcosa di non ben definito ma chiamato Privacy e fuggiti da WhatsApp. Ma Telegram non è crittografato end-to-end per impostazione predefinita a differenza di Signal che dispone della crittografia end-to-end per impostazione predefinita. Signal è un classico prodotto “messenger” crittogaraffato e2e mentre Telegram si comporta più come un social network più messenger e non è e2e per impostazione predefinita, nemmeno Facebook Messenger lo è.

Quindi recapitolando abbiamo WhatsApp che ha il segnale sempre criptato end-to-end per amici e familiari. Il backup va fatto localmente nel posto che decide l’utente con le misure di protezione definite dallo stesso. È noto che WhatsApp salva e condivide con la company Facebook i Metadati delle chat.

Poi c’è Telegram che non è e2e per predefinizione ma spiega perfettamente cosa cifrano e cosa no. Quindi hanno scelto di preservare usabilità e sicurezza, in questo modo per le chat che non contengono informazioni sensibili gli utenti possono usufruite di backup in cloud e trasferire facilmente le loro chat su un altro device.

In più abbiamo Signal che offre solo la crittografia e2e per impostazione predefinita. Ma se il proprio dispositivo muore si perdono tutte le informazioni delle chat perché, per fare la migrazione, servono le chiavi fisiche salvate nel device. Pare quindi, che la scelta migliore sia quella di Telegram. Ma solo se l’utente legge molto attentamente le istruzioni prima di usare il prodotto al fine di scegliere le modalità di protezione più adatte.

Le modifiche annunciate di WhatsApp

Per completare questo post con tutte le informazioni rimane ancora da chiarire quali dovevano essere le modifiche annunciate da WhatsApp.

Innanzitutto va detto che l’aggiornamento dell’Informativa non riguarda in alcun modo la privacy dei messaggi scambiati tra amici e famigliari. Tale modifiche riguardano lo scambio di messaggi con le aziende per offrire maggiore trasparenza sulle modalità di raccolta e l’utilizzo dei dati da parte di WhatsApp. Quindi riguarda i servizi di WhatsApp Business.

Ricordiamo che nè WhatsApp nè Facebook possono leggere i messaggi personali o ascoltare le chiamate WhatsApp effettuate tra amici e famigliari. Tutti gli scambi d’informazioni rimangono personali perché i messaggi sono crittografati end-to-end per impostazione predefinita. WhatsApp non tiene traccia delle persone chiamate o a cui si invia messaggi per minimizzare il rischio per la sicurezza dei dati e quindi per la tutela di oltre due miliardi di utenti.

La localizzazione

Lo stesso vale per le posizioni condivisi dall’utente, tale informazione condivisa su WhatsApp è protetta dalla crittografia e2e, il che significa che nessuno può vederla ad eccezione delle persone con cui è stato condivisa.

Inoltre sui social network non vanno condivisi i dati contatti degli utenti con Facebook. In base al consenso fornito dall’utente Facebook può accedere solo ai numeri di telefono della rubrica. In nessun modo tali numeri vanno condiviso con alte applicazioni offerte da Facebook. Lo stesso vale per i gruppi che rimangono privati e sono protetti dal servizio spam e usi impropri. Un ulteriore servizio di protezione per i messaggi istantanei e l’opzione “effimeri” che rende i messaggi non più visibili dopo l’invio.

Infine, per adempire ai requisiti del GDPR, l’utente può vedere e scaricare i propri dati direttamente sull’account dell’applicazione e chiedere il trasferimento e la cancellazione di tutti i dati contenuti.

Resta sempre vero il fatto che l’informativa fornita da WhatsApp è piuttosto incomprensibile per un semplice utente. È capire qualcosa tra regole che non si applicano in Europa e clausole invece applicabili, resta un’impresa. Certo è che il GDPR prevede che il consenso vada inteso come “qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento”.

Conclusioni

Se WhatsApp quindi dovesse rimanere con la propria intenzione dell’avviso “o si accetta subito le nuove regolamentazioni o al massimo si può attendere fino all’8 febbraio 2021” si tratterebbe di un “doveroso consenso” e quindi palesemente non in sintonia con quanto previsto dalla normativa europea.

Staremo a vedere che cosa succederà nei prossimi giorni. Pare comunque che sia giunto un chiarimento da un porta voce di WhatsApp in merito alle modifiche che interesserebbe l’area UE. Tale chiarimento riporta:”Non ci sono modifiche alle modalità di condivisione dei dati di WhatsApp nella Regione europea, incluso il Regno Unito, derivanti dall’aggiornamento dei Termini di servizio e dall’Informativa sulla privacy.”

Nota: Il mondo digitale si sta muovendo verso una filosofia “mobile first”, dove tutto transita da e verso gli Smartphone. Tuttavia, il livello di attenzione che viene prestato a quello che ci viene richiesto e ciò che concediamo, in termini di privacy, non è sufficientemente alto. I Criminal Hacker si sono già accorti da tempo di questa lacuna e si stanno muovendo per approfittarne, quindi sta ad ognuno di noi a reagire!

Se riscontrate che anche soltanto un tassello ancora manca e desiderate risolvere tutte le eventuali criticità, cliccate qui sotto e prenotate la vostra consulenza.

gdpr monitoraggio

GDPR: come si svolge il monitoraggio?

L’importanza dell’audit nell’ambito privacy

Lo strumento utile a disposizione del titolare del trattamento dei dati è l’Audit. Con tale strumento dimostra la propria accountability e l’adeguamento al GDPR. Come già spiegato in altre occasioni, la procedura dell’audit richiede professionisti specializzati e il rispetto di diverse fasi operative. Non si può improvvisare!

Un termine chiave e per tanti sicuramente nuovo, nell’ambito della protezione dei dati, è l’Accountability. Ma di che cosa si tratta? L’art.5.2 del GDPR enuncia che il titolare è il soggetto a cui compete il rispetto dei principi generali di trattamento. Lui deve essere in grado di “comprovarlo” attraverso misure tecniche ed organizzative adeguate. Il concetto di accountability (che significa responsabilità) viene ulteriormente rafforzato dall’art.24 che afferma che tali misure devono essere riesaminate ed aggiornate. Quindi le nostre parole chiave oggi sono: responsabilità, controllo, aggiornamento e mantenimento. Ciò significa che il titolare del trattamento deve mettere in atto un programma di monitoraggio dei propri sistemi di protezione dei dati con il quale tiene aggiornato nel tempo i processi. Strumento ottimale per tale scopo è l’attività di audit.

Prevenire non mitigare grazie al GDPR

Teniamo quindi presente che il GDPR non prevede un adeguamento una tantum, ma richiede una manutenzione continua. Come risulta in uno studio a cura della Commissione Europea, del 2019, l’Italia occupa il penultimo posto in merito alla conoscenza della norma e alle attività svolte dalle autorità di vigilanza. Tra gli elementi carenti risulta la mancanza dei processi documentati e dimostrabili, la carente gestione dei reclami e l’assenza dei registri di trattamento dei dati. È quindi evidente il fatto che si deve lavorare ancora molto per riuscire a colmare il gap esistente tra adempimento formale e adempimento sostanziale. Una lacuna che spesso si verifica nelle aziende, è proprio la mancanza di verifiche, di piani di controlli preventivi. 

Va ricordato che si deve prevenire il rischio e non mitigare. Perché la maggior parte dei data breach accadono proprio a causa della mancanza dei controlli periodici adeguati. Evitare tale disastri sarebbe quindi possibile, se si adottasse un efficace comportamento “proattivo”. A rafforzare l’importanza di questo approccio preventivo e anche questa affermazione di Stefano Rodotà: “i dati personali degli oltre 500 milioni di abitanti dei 28 Paesi dell’Unione Europea nel 2020 avranno un valore commerciale stimato attorno ai 1.000 miliardi di euro”. Un dato che esprime chiaramente quanto sia accattivante entrare in possesso di questi dati come quanto sia quindi fondamentale proteggerli.

Il valore dei dati protetti dal GDPR

I dati personali rappresentano un enorme valore per l’azienda e vanno di conseguenza custoditi e protetti, non utilizzati a piacimento. Risulta quindi di fondamentale importanza conoscere le criticità legate al trattamento dei dati personali nel operato quotidiano. Non solo per proteggerli ma anche perché rappresenta un “asset” di competitività sul mercato.

Sorge a questo punto la domanda: un titolare può dimostrare la propria “accountability” e mantenerla aggiornata nel tempo? La risposta è chiara e netta: Sì. Il titolare può dimostrare la sua responsabilità adottando un approccio globale di gestione dei dati personali. Questa gestione deve prevedere un piano di verifiche e monitoraggio del proprio sistema della protezione dei dati personali. Volto ad individuare preventivamente eventuali carenze e individuare quelle azioni di rimedio utili a garantire nel tempo un adeguato livello di conformità al GDPR.

Che cos’è l’audit

Vediamo quindi che cos’è l’audit nel ambito privacy e GDPR. Si tratta di un processo di valutazione indipendente che si svolge periodicamente sulla base di un’attività di campionamento. Lo scopo è di ottenere evidenze relative ad un determinato contesto di analisi e valutarle con obiettività. Risultato della verifica sarà di stabilire in quale misura i criteri prefissati siano stati raggiunti o meno. Il concetto di audit può essere applicato a molte attività. Comprese quelle della gestione dei dati, fungendo da strumento di verifica, come richiesto dal GDPR. Utile per tale attività risulta essere la norma ISO 19011. Si tratta di una linea guida sull’audit di sistemi di gestione, nonchè gestione dei programmi di audit e la conduzione degli stessi.

La norma può essere applicata a qualsiasi organizzazione che ha l’esigenza di pianificare e condurre un audit interno o esterno di sistemi di gestione. L’audit è lo strumento più importante per valutare se i requisiti vengono applicati in modo coerente e con regolarità nell’ambito dei processi e se il sistema produce i risultati desiderati.

Chi è l’auditor e qual è il suo ruolo nell’adeguamento al GDPR

Il Lead auditor e l’auditor sono membri di un team che esegue appunto l’audit. Il lead auditor è il responsabile del team e, una volta incaricato, tutte le singole attività sono sotto la sua responsabilità, sulla base di quanto previsto dalla procedura di riferimento. L’auditor invece esegue le direttive del responsabile del team e accetta le sue decisioni. Diamo per scontato che tale figure abbiano le caratteristiche personali e le competenze per effettuare un audit nell’ambito GDPR. Si tratta quindi di esperti della data protection sia a livello giuridico che informatico. Colui che svolge il ruolo di auditor, deve essere oggettivo, imparziale e, soprattutto, non deve avere conflitti di ruolo con l’oggetto dell’audit. In pratica, non deve avere responsabilità dirette con l’organizzazione o con il dipartimento interessato dall’attività di valutazione.

Una caratteristica molto importante dell’auditor è la spiccata capacità comunicativa. Una buona capacità di gestione delle risorse umane in modo assertivo, oltre all’abilità di persuadere grazie alla condivisione più che al mero e burocratico richiamo a prescrizioni e regolamenti, rendono il quadro professionale completo. Altrettanto fondamentale è lo spirito di osservazione e la capacità di giungere tempestivamente a conclusioni basate sull’analisi e su ragionamenti logici. Importante ricordare che le informazioni relative all’audit sono riservate e non devono essere utilizzate impropriamente per vantaggi personali.

I compiti del lead auditor

Quali sono i primari compiti che competono al responsabile dell’audit?

  • assicurasi della fattibilità dell’audit
  • scegliere i membri del team
  • prendere contatti con il referente dell’organizzazione
  • gestire tutta la comunicazione durante tutto il processo
  • raccogliere la documentazione e approfondire eventuali normative applicabili
  • effettuare l’analisi documentale
  • definire il programma di audit
  • preparare le liste di controllo di audit
  • gestire il team
  • gestire le riunioni di apertura e chiusura dell’audit
  • formulare le risultanze
  • redarre e gestire l’approvazione del rapporto di audit

Gli obiettivi e il piano dell’audit

L’obiettivo di un audit deve essere fissato in modo chiaro e condiviso e può essere rivolto per esempio alla:

  • verifica del grado di conformità alla normativa vigente
  • verifica del grado di conformità tra data protection policy e comportamenti dei dipendenti
  • accertamento del livello di conformità al GDPR e alle policy aziendali di un fornitore di servizi, al fine di valutare che i requisiti dichiarati e concordati nella fase iniziale di stesura dell’accordo, sia stati rispettati e mantenuti nel tempo
  • accertamento dell’efficacia di azioni correttive a seguito di una “non- conformità” riscontrata durante un precedente

Il piano d’audit per il GDPR è parte fondamentale per una corretta gestione dell’attività di verifica. Tale piano va condiviso durante la riunione di apertura, quindi prima di iniziare l’attività di audit. In questo modo a tutte le risorse coinvolte sarà possibile comprendere al meglio le attività che si andranno a svolgere. Vediamo di seguito i punti del piano formalizzato preventivamente:

  • gli obiettivi da raggiungere
  • i criteri adottati per raggiungere gli obiettivi e i documenti di riferimento
  • il campo operativo 
  • giorni e i luoghi ;
  • il tempo stimato necessario per le verifiche sul posto
  • la check-list di domande

Il report finale

La conduzione dell’Audit in ambito GDPR, prevede la raccolta e la verifica delle informazioni attraverso l’esame documentale, oltre alle osservazioni dirette e le interviste ai referenti del settore/processo da auditare. Tutte le evidenze raccolte devono essere documentate e verificabili, basate su un campione delle informazioni disponibili poiché l’audit si svolge in un lasso di tempo limitato. Le conclusioni, devono essere documentate attraverso un report finale. Le risultanze dell’audit, che possono essere classificate in non conformità, osservazioni e opportunità di miglioramento, commenti e raccomandazioni devono essere dettagliatamente precisate. In sintesi, i contenuti principali del rapporto di audit sono:

  • obbiettivi, campo di applicazione e criteri dell’audit
  • sedi, luogo e data in cui si è svolto l’audit
  • team di audit e ruoli ricoperti
  • rappresentante dell’organizzazione additata e altre risorse intervistate
  • risultanza dell’audit e la loro classificazione
  • conclusioni dell’audit e valutazioni in merito
  • azioni correttive e azioni di miglioramento

I principi etici dell’attività di audit

Poiché l’auditor si possa trovare in realtà complesse e a volte apparentemente paradossali e non operando da solo ma in team, risulta importante riportare anche i punti fermi di cui si deve conformare l’attività di auditing per potersi definire tale. Una corretta gestione richiede:

  • integrità
  • presentazione imparziale
  • adeguata diligenza/ professionalità
  • Riservatezza
  • Indipendenza
  • approccio basato sull’evidenza

Condurre un audit interno per l’adeguamento al GDPR può essere un compito complesso, sia per un’impresa di grandi dimensioni, sia per una piccola impresa che non possiede le competenze necessarie. La fiducia nel processo di audit e la capacità di raggiungere gli obiettivi dipende dalle competenze delle persone coinvolte. Questa attività può essere svolta sia da un privacy officer interno sia da un auditore esterno. Al DPO, se è stato nominato, è riservato il compito di contribuire alla definizione del piano di verifiche. Sicuramente la scelta più efficace è quella di individuare un team multidisciplinare, che garantisce le competenze adeguate di ogni settore.

L’ampiezza del programma di audit, in termine di numero di attività di verifica da svolgere, nonché le risorse da impiegare, dipendono dalla complessità dell’azienda oltre dalla rilevanza dei trattamenti svolti. Tuttavia, l’adozione un piano di verifiche documentate del proprio sistema di protezione dei dati ha un’importanza strategica nella dimostrazione della responsabilità del Titolare. Inoltre risulta essere utile nel caso di verifica da parte delle autorità di controllo. L’audit aiuta a garantire la competitività sul mercato attraverso un adeguato e sempre aggiornato livello di conformità al GDPR

Per individuare le aree di copertura dell’adeguamento al GDPR da parte del titolare, puoi chiedere il nostro SCHEMA DI VERIFICA. clicca qui

Conclusioni

Partecipare ad un audit GDPR nel ruolo dell’additato è stressante, effettuarlo lo è molto di più. Eseguire l’attività di audit richiede una costante concentrazione, oltre ad un atteggiamento mentale da auditore e la capacità di dare nulla per scontato.

L’audit dovrebbe durare per il tempo strettamente necessario, essere svolto in modo sobrio e pratico, in un clima disteso, aperto e collaborativo. Richiede di lasciare spazio alla professionalità e capacità intuitiva degli auditori, più che al rigore formale. In più serbe focalizzare i gap su cui orientare gli sforzi per migliorare i comportamenti e/o per ottimizzare le procedure.

A riguardo degli obiettivi perseguiti con il GDPR è importante vigilare affinché le attività di verifica siano funzionali al raggiungimento di essi e non residui di regole superate. Tale orientamento non dovrebbe mai essere una mera esecuzione dell’adempimento formale e le attività dovrebbero essere focalizzate alla tutela dei valori, degli asset e del know-how dell’organizzazione.

Eseguire e rendicontare un audit in modo efficiente richiede capacità di sintesi, problem soling e creatività: il lavoro può dare grandi risultati e soddisfazioni.

Se riscontrate che anche soltanto un tassello ancora manca e desiderate risolvere tutte le eventuali criticità, cliccate qui sotto e prenotate la vostra consulenza.