Audit per la Privacy?

di sicuro ne hai bisogno!

Alberto Delaini - Delaini & Partners

Partiamo dall’inizio: l’audit è un processo che comporta la definizione di obiettivi e procedure necessarie, individuando criticità e soluzioni, per arrivare in ultimo all’adempimento di obblighi normativi e per ottenere o mantenere una certificazione dei sistemi di gestione nel momento in cui questi siano stati implementati in azienda.
Più in particolare, l’attività di Audit Privacy è vitale al fine di individuare non conformità o carenze nella protezione dei dati personali e suggerire proposte di miglioramento per difenderle.

I Vantaggi

I controlli di conformità vanno progettati con attenzione, pianificati ed infine eseguiti in modo sistematico perché costituiscono:
– uno strumento di tutela del titolare del trattamento: verificando il livello di conformità alla normativa è possibile individuare tempestivamente (e correggere!) anomalie e criticità nella propria attività di protezione e trattamento dei dati, evitando sanzioni o richieste di risarcimenti di danni da parte di terzi.
– uno strumento di accountability a disposizione e supporto del titolare del trattamento, per dimostrare la conformità al GDPR; la verifica contribuisce a documentare il percorso di adeguamento condotto dal Titolare del Trattamento tenendo traccia di tutte le evidenze di tale percorso; la mancanza di evidenze implica infatti di per sé una non conformità.
– uno strumento del Data Protection Officer per esercitare la sua funzione di sorveglianza e controllo dell’operato della struttura del titolare.

Il GDPR

Ma quanto detto fin qui non è tutto, occorre tener presente che con l’avvento del GDPR:

  • cambia il perimetro di tutela: si passa dalla tutela dei dati personali in senso stretto alla tutela dei diritti e libertà delle persone fisiche;
  • molti adempimenti che in precedenza erano impliciti ora devono essere formalizzati e documentati e la loro assenza è sanzionata;
  • vengono introdotti nuovi obblighi, come quello per il titolare di essere in grado di dimostrare, in ogni momento, la propria conformità o quelli derivanti dall’osservanza del principio di privacy by design e privacy by default;
  • la responsabilizzazione del titolare del trattamento fa sì che molte azioni da compiere in adempimento del GDPR non siano predefinite con regole codificate (ad esempio, non sono più previste le misure minime di sicurezza).

Le verifiche mirate alla Gestione della Privacy

Le verifiche in ambito Privacy sono caratterizzate dal dovere di controllare ambiti sia formalizzati vale a dire per i quali la normativa indica nel dettaglio i requisiti attesi (es: informative, designazioni, basi giuridiche, etc), sia non formalizzati, cioè ove la responsabilità della relativa concreta articolazione è in carico allo stesso Titolare (es. misure di sicurezza, modalità con cui sia stata effettuata l’analisi dei rischi, l’eventuale DPIA, etc)
Quindi, a titolo di esempio, le verifiche possono avere ad oggetto:
– valutazione degli adempimenti effettuati dal Titolare del Trattamento
– verifica degli adempimenti contrattuali dei Responsabili Esterni
– valutazione di correttezza e completezza di informative, registri dei trattamenti, privacy policy, cookie policy
– valutazione delle procedure organizzative a supporto delle misure di sicurezza
– valutazione delle competenze e dell’operato degli amministratori di sistema
– valutazione del livello di formazione delle persone che trattano dati personali
– valutazione dei processi di gestione di esercizio dei diritti dell’interessato e dell’efficacia nei casi trattati
– controllo degli adempimenti in materia di videosorveglianza

Le verifiche mirate alla Sicurezza Informatica

Particolare attenzione va posta nella verifica delle misure di sicurezza informatiche messe in atto per proteggere i dati e le eventuali vulnerabilità che possono esporre l’azienda al rischio di attacchi informatici
Un audit di sicurezza informatica fornisce una sorta di inventario dei punti deboli di un sistema aziendale in tema di cybersecurity e suggerisce, su questa base, una vera e propria tabella di marcia per rendere il vostro comparto sicurezza quanto più inattaccabile sia possibile.
Per questo, gli audit di sicurezza sono fondamentali al fine della valutazione del rischio e della definizione di strategie di mitigazione per le aziende che si occupano di dati sensibili appartenenti a individui.
Gli elementi oggetto di valutazione di un audit di sicurezza informatica, in particolare, sono:
– componenti del sistema informatico e ambiente in cui è ospitato il sistema informatico
– applicazioni e software (incluse le patch di sicurezza messe a punto dagli amministratori di sistema)
– vulnerabilità della rete interna ed esterna
– personale aziendale, ovvero le modalità utilizzate dai dipendenti per raccogliere, condividere e archiviare informazioni sensibili.

Quando svolgere un’attività di Audit?

E’ buona norma pianificare annualmente l’attività di audit del Sistema di Gestione della Privacy Aziendale, in modo da poterne verificare la compliance al GDPR, ed attuare eventuali adeguamenti a fronte di cambiamenti organizzativi o normativi, pianificando nel contempo frequenti e puntuali verifiche in merito alla sicurezza informatica.
È anche importante in termini di accountability, perché il possesso di un piano di audit e le risultanze di tali audit costituiranno una base per qualsiasi argomentazione che il Titolare vorrà adoperare in caso di richieste da parte dell’Autorità Garante o degli interessati.

In conclusione

La violazione dei dati personali è causa di alcune tra le conseguenze più gravi che l’attività di un’azienda, e l’azienda stessa, possano subire. Per citarne alcune, perdita di reputazione, responsabilità penali e procedimenti giudiziari.
L’unico strumento, dunque, è la prevenzione.

Roberto Giovanni Loche
RL Solutions
rloche@rlsolutions.it – Mobile: +39 331.2917785