L’ audit, o revisione interna come la definisce Banca d’Italia, è la terza linea dei controlli all’interno di una organizzazione, unitamente ai controlli di linea e alle funzioni di controllo di secondo livello (compliance, dirigente preposto 262 e via dicendo).
Ma chi controlla l’audit? In teoria nessuno e questo non è certo un bene.
Indice degli argomenti
La funzione di audit e il rischio di violazione della normativa privacy
Non essendo soggetti a controllo, se non dalla propria interna struttura gerarchica, sembra che gli auditor godano di una sorta di immunità[1].
Questo è molto rischioso, soprattutto in determinati ambiti, come quello legato al trattamento dei dati personali.
Per quale motivo? La risposta è molto semplice; le funzioni di controllo accedono a molteplici quantità di dati, o meglio a qualunque dato e informazione presente all’interno di un’organizzazione.
Quindi, gli auditor possono accedere anche a qualunque dato personale sia trattato in azienda.
Questo rende questa funzione, paradossalmente, quella dove maggiore è il rischio di una violazione di quelli che sono gli adempimenti previsti dalla normativa privacy.
In ultima analisi quindi, in un approccio basato sul rischio, l’audit è la funzione verso la quale dovrebbe concentrare la sua maggiore attenzione la funzione preposta a verificare la corretta applicazione della normativa privacy e cioè il DPO (ma su questo punto ritorniamo più avanti nel testo).
L’audit può trattare innumerevoli quantità di dati, relative ad esempio al personale, ai clienti, ai fornitori…, al fine di verificare, ad esempio, il rispetto delle normative (non tutte le organizzazioni hanno al riguardo strutture specializzate, come la compliance), l’efficacia o l’efficienza dei processi, la messa in atto di frodi…
Perché tutto questo può costituire una fonte di rischio dal punto di vista del rispetto della normativa privacy?
Audit e trattamento di dati personali: cosa dice il GDPR
I motivi possono essere molteplici.
Il primo è che tali attività, specie se svolte su grandi quantità di dati (come, ad esempio, quando si cercano indicatori di possibili frodi), possa portare alla profilazione automatica dei soggetti di cui si analizzano le informazioni, siano essi dipendenti, clienti, fornitori e via dicendo.
Tale fattispecie è specificatamente normata dall’articolo 22 del GDPR, relativo al processo decisionale automatizzato relativo alle persone fisiche, compresa la profilazione, che così recita:
1. L’interessato ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione[2], che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona.
2. Il paragrafo 1 non si applica nel caso in cui la decisione:
a) sia necessaria per la conclusione o l’esecuzione di un contratto tra l’interessato e un titolare del trattamento;
b) sia autorizzata dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento, che precisa altresì misure adeguate a tutela dei diritti, delle libertà e dei legittimi interessi dell’interessato;
c) si basi sul consenso esplicito dell’interessato.
3. Nei casi di cui al paragrafo 2, lettere a) e c), il titolare del trattamento attua misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell’interessato, almeno il diritto di ottenere l’intervento umano da parte del titolare del trattamento, di esprimere la propria opinione e di contestare la decisione.
4. Le decisioni di cui al paragrafo 2 non si basano sulle categorie particolari di dati personali di cui all’articolo 9, paragrafo 1, a meno che non sia d’applicazione l’articolo 9, paragrafo 2, lettere a) o g), e non siano in vigore misure adeguate a tutela dei diritti, delle libertà e dei legittimi interessi dell’interessato.
Da quanto sopra riportato appare evidente di come, lo svolgimento di un’attività di audit, non rientri fra i casi di esclusione del divieto di procedere ad una profilazione automatizzata di un soggetto e che, quindi, tale pratica è vietata (salvo che non si mettano in atto quanto previsto dallo stesso articolo 22, ad esempio la richiesta del consenso dell’interessato e un intervento umano unitamente al processo automatizzato).
Un altro aspetto, sempre legato a quanto prevede l’articolo 22, è che tale attività, anche se svolta in modo lecito, comporta una preventiva adeguata informativa ai soggetti coinvolti e un’altra serie di adempimenti privacy (che in realtà riguardano qualunque trattamento) che molto spesso sono trascurati.
Fra questi: l’annotazione nel registro delle attività di trattamento dello specifico trattamento effettuato, la valutazione dei rischi ai sensi degli artt. 24, 25 e 32, l’eventuale esecuzione di una DPIA nel caso in cui il rischio risultante dalle precedenti analisi risulti essere elevato per i diritti e le libertà delle persone fisiche.
Gli elementi più rischiosi delle attività svolte dall’audit
Ma sono altri ed ulteriori gli elementi più rischiosi che possono riguardare le attività svolte dall’audit.
Il primo riguarda la differenza esistente fra un accesso legittimo ed un accesso lecito ai dati personali.
La conoscenza di tale differenza non è molto diffusa, in quanto tali termini non sono entrambi presenti nella normativa, ma derivano storicamente da analisi molto dettagliate delle fattispecie reali, che ai neofiti della normativa sfuggono.
Come precedentemente esplicitato, gli auditor sono nella maggior parte dei casi autorizzati ad accedere a qualunque dato dell’organizzazione, pur nelle limitazioni dei compiti del loro specifico ruolo (nel caso in cui siano in numero rilevante), ovvero in forma generalizzata (nel caso in cui la funzione di audit sia composta da poche unità).
Questa ampia libertà di accesso ai dati non costituisce tuttavia una autorizzazione di carattere generale alla loro consultazione, ma ne costituisce semplicemente il presupposto.
In altre parole, un auditor è legittimato ad accedere a tutti o a parte dei dati aziendali, e quindi ai dati personali, ma può lecitamente accedere ai soli dati che sono necessari allo svolgimento dello specifico incarico che gli è stato di volta in volta conferito.
Questa differenza non è solo lessicale, ma sostanziale.
Un accesso a dati personali svolto da un auditor non per lo svolgimento di un incarico, ma per pura curiosità, costituisce un accesso illecito o, per meglio dire, una violazione di dati personali[3].
Una fattispecie che potrebbe comportare anche l’obbligo di notifica di violazione di dati personali all’Autorità Garante[4].
Con la vecchia normativa, se questo illecito accesso avesse anche comportato un danno per il soggetto i cui dati fossero stati violati, ci sarebbe stata anche una sanzione penale per l’autore della violazione (oltre che, presumibilmente, il suo licenziamento).
Una situazione quindi da non prendere alla leggera e che dovrebbe responsabilizzare molto sia gli auditor, sia il titolare del trattamento (cioè l’organizzazione a cui gli auditor appartengono) e ricordare loro quali siano i corretti comportamenti da mantenere.
Ma veniamo ad un altro aspetto ancor più inquietante che, nel corso degli anni, ho avuto modo di riscontrare parecchie volte anche da parte di quei soggetti, quali DPO e privacy officer, che dovrebbero conoscere molto bene la materia.
Quando sto trattando un dato personale e quindi quando possono verificarsi le situazioni di cui sopra?
Il problema di fondo è che un’informazione non nasce come dato personale o come dato non personale (salvo che sia un dato identificativo), ma lo diventa, nel momento in cui è possibile abbinarla, in qualche modo (diretto o indiretto), ad una persona fisica. E questo dato può ricomprendere[5] qualsiasi informazione.
Mi risulta difficile capire come un concetto così banale quale qualsiasi informazione, a distanzadi quasi 30 anni dall’entrata in vigore della normativa privacy, non sia ancora entrato nella testa delle persone e c’è chi cerca ancora di categorizzare le informazioni come dati personali o dati non personali.
Se un’informazione è associabile, direttamente o indirettamente ad una persona fisica, allora quella informazione costituisce un dato personale, qualunque essa sia.
Attività di audit e intelligenza artificiale
A complicare le cose vi è inoltre il fatto che nel mondo dell’audit, le attività di verifica posso portare a raccogliere informazioni che di per sé stesse non sono dati personali, ma che messe insieme possono inferire e consentire di abbinare un determinato set di informazioni ad una specifica persona fisica.
È importante allora ricordare che, quelle informazioni, che prima non erano dati personali, lo diventano in quel momento.
Oggi, con l’introduzione dell’intelligenza artificiale quale strumento di ausilio alle attività di audit e l’accesso a rilevanti quantità di dati, questa possibilità è aumenta in modo esponenziale e quindi il rischio di profilazione o il rischio di inferire informazioni è aumentato notevolmente.
Anche un questionario anonimo e, quindi, in teoria privo di dati personali, si trasforma in una raccolta di dati personali se dalle risposte lo posso abbinare ad una persona fisica (ad esempio una donna in mezzo ad un gruppo di uomini, un anziano in mezzo ad un gruppo di giovani).
Ne consegue che la funzione di audit, dovrebbe prestare particolare attenzione al trattamento di dati personali, più di qualunque altra funzione in azienda.
Il ruolo del DPO per il controllo degli adempimenti privacy dell’audit
Ma chi dovrebbe controllare i corretti adempimenti in ambito privacy da parte della funzione di audit?
Ovviamente, là dove sia presente, il DPO.
Ed ecco allora un altro punto dolente sul quale ogni tanto ritorno.
Il DPO è stato considerato, a torto, una delle funzioni di controllo di secondo livello, alla stregua della compliance o del dirigente preposto.
Ma come fa una funzione di secondo livello a fare una verifica su una funzione di terzo livello?
Ovviamente il problema è mal posto?
Il DPO non dovrebbe essere in realtà una funzione di controllo di secondo livello, ma una funzione di garanzia, analogamente all’ODV o al collegio sindacale.
Quindi perché viene considerata in moltissimi casi una funzione di secondo livello?
Non mi è chiaro da dove sia nata questa attribuzione, ma la logica “gli altri fanno così” e il vantaggio soprattutto di riciclare ruoli già presenti in azienda attribuendogli anche questa funzione, molto spesso in conflitto di interessi [6], ne ha permessa una rapida diffusione.
Fra gli altri è proprio il DPO che dovrebbe segnalare al Titolare la non congruenza della sua posizione ed il conseguente possibile rischio sanzionatorio
È evidente che tale prassi, nella situazione qui descritta, ben evidenzia i suoi limiti.
A differenza delle altre attività aziendali, il trattamento di dati personali è assolutamente agito da tutte le funzioni, compreso l’audit, come ben sopra documentato.
La funzione addetta al controllo del corretto rispetto della normativa privacy deve pertanto essere assolutamente indipendente e poter controllare chiunque in azienda, nessuno escluso.
Da quanto fin qui esposto, una organizzazione che non sottoponga a verifica da parte del proprio DPO i trattamenti effettuati dall’audit, cioè dalla funzione in cui il rischio di trattamento non conforme o di violazione di dati personali è alto, non può certo dirsi conforme alla normativa privacy.
[1] In realtà, con la estensione della normativa sul whistleblowing, un dipendente o altro soggetto previsto dalla normativa può segnalare una presunta violazione compiuta anche dalla funzione di audit
[2] «profilazione»: qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica;
[3] «violazione dei dati personali»: la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati;
[4] Articolo 33 Notifica di una violazione dei dati personali all’autorità di controllo
1. In caso di violazione dei dati personali, il titolare del trattamento notifica la violazione all’autorità di controllo competente a norma dell’articolo 55 senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. Qualora la notifica all’autorità di controllo non sia effettuata entro 72 ore, è corredata dei motivi del ritardo.
[5] «dato personale»: qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale;
[6] Al riguardo è importante rifarsi alle indicazioni fornire sia dall’EDPB, sia dall’EDPS.
