L’audit è uno degli strumenti più efficaci per raggiungere la compliance privacy e utile a dimostrare la concreta attenzione del titolare al trattamento dei dati personali.
Com’è noto, infatti, il principio di accountability impone al titolare del trattamento di adottare misure tecniche e organizzative adeguate a garantire i diritti e le libertà fondamentali dell’interessato (“responsabilità”) e di essere in grado di dimostrare la conformità del trattamento al GDPR (verificabilità).
Indice degli argomenti
Audit e GDPR: una “traduzione” tutta italiana
Nella versione originale, in lingua inglese, del Regolamento europeo 2016/679, il termine “audit” ricorre con riferimento a 4 articoli (28, 39, 47, 58). Nella versione in italiano, invece, tale termine non figura ed è genericamente – ed imprecisamente – sostituito, come indicato nella tabella seguente, dalle espressioni “revisione”, “verifica” e “controllo”.
| GDPR (versione originale) | GDPR (traduzione in italiano) | ||
| art. 28 – Processor | “and contribute to audits, including inspections, conducted by the controller or another auditor mandated by the controller” | art. 28 – Responsabile del trattamento | “e contribuisca alle attività di revisione, comprese le ispezioni, realizzati dal titolare del trattamento o da un altro soggetto incaricato” |
| art. 39 – Tasks of the data protection officer | “and training of staff involved in processing operations, and the related audits.” | art. 39 – Compiti del responsabile della protezione dei dati | “e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo.” |
| art. 47 – Binding corporate rules | “Such mechanisms shall iclude data protection audits and methods for ensuring corrective actions to protect the rights of the data subject.” | art. 47 – Norme vincolanti d’impresa | “Tali meccanismi comprendono verifiche sulla protezione dei dati e metodi per assicurare provvedimenti correttivi intesi a proteggere i diritti dell’interessato.” |
| art. 58 – Powers | “to carry out investigations in the form of data protection audits” | art. 58 – Poteri | “condurre indagini sotto forma di attività di revisione sulla protezione dei dati” |
Le norme di riferimento
È possibile distinguere tre diverse tipologie di audit:
- audit di prima parte (o interni): l’organizzazione valuta se stessa, internamente o tramite un consulente esterno;
- audit di seconda parte: sono gli audit di fornitori esterni o di altre parti interessate;
- audit di terza parte: sono audit di certificazione, condotti da organismi indipendenti.
La trattazione successiva avrà ad oggetto le prime due tipologie elencate, in quanto pertinenti alle attività proprie del privacy officer, del consulente privacy e del DPO.
La norma di riferimento per la conduzione di audit di prima e di seconda parte è la UNI EN ISO 19011:2018, la quale lo definisce come il “processo sistematico, indipendente e documentato per ottenere evidenze oggettive e valutarle con obiettività, al fine di determinare in quale misura i criteri dell’audit sono soddisfatti”.
Per quanto concerne, specificamente, l’ambito privacy, l’audit si traduce in una verifica di conformità dei processi aziendali alla normativa vigente.
I vantaggi per la compliance privacy
Il ricorso a questo utile strumento da parte del titolare comporta evidenti vantaggi per l’organizzazione:
- garantisce un più efficace processo di adeguamento alla vigente normativa privacy;
- comprova la conformità dell’organizzazione;
- verifica l’aderenza e l’efficacia delle policies aziendali rispetto all’organizzazione interna ed alle norme cogenti;
- consente l’efficace monitoraggio dell’adeguatezza delle misure tecniche ed organizzative adottate dal titolare, rispetto al rischio del trattamento;
- consente la qualificazione dei fornitori (Responsabili del trattamento) che trattano dati personali per conto del titolare;
- migliora la consapevolezza dell’organizzazione in relazione alla protezione dei dati personali.
La figura dell’auditor
È importante, per l’organizzazione del titolare del trattamento, acquisire consapevolezza sul corretto inquadramento del ruolo e delle funzioni dell’auditor, con particolare riferimento ai processi di audit interno, ai fini della creazione di un clima aperto e collaborativo.
L’auditor, infatti, non rappresenta una controparte negativa nei confronti dell’organizzazione auditata (non è un ispettore) ma è un soggetto che svolge una funzione solidaristica, in quanto ha in comune con l’organizzazione stessa l’obiettivo di individuare e determinare un soddisfacente livello di protezione dei dati personali trattati ed un efficace adeguamento alla normativa vigente.
Come si svolge il processo di audit
Con particolare riguardo agli audit interni, è importante segnalare come sia sempre opportuno procedere alla predisposizione di un’apposita procedura (procedura di audit interno) che definisca chiaramente i processi e le fasi di conduzione di tutto il processo. Ad ogni modo, è possibile individuare per lo svolgimento degli audit privacy, i seguenti step:
- definizione del programma di audit: è l’insieme di uno o più audit pianificati in un determinato arco di tempo ed orientati ad uno specifico scopo (obiettivo dell’audit);
- predisposizione di un piano di audit: è la descrizione delle attività da effettuare sul campo e delle disposizioni per la conduzione di un audit. In particolare, deve contenere:
– gli obiettivi dell’audit;
– il campo di applicazione: ovvero una descrizione dei siti fisici, delle unità organizzative, delle funzioni e dei processi da auditare;
– i criteri dell’audit, da non confondere con i requisiti previsti dalle leggi di riferimento, come ad esempio il GDPR. I criteri sono l’insieme delle politiche, delle procedure e dei requisiti usati come riferimento per testare la conformità dei processi auditati (es. schemi di certificazione, procedure, policies privacy, codici di condotta ecc.);
– le date, i tempi e la durata delle attività di audit da svolgere;
– la composizione, i ruoli e le responsabilità del Gruppo di Audit, compresa la presenza eventuale di esperti tecnici e/o osservatori;
– la lingua dell’audit;
– gli aspetti relativi alla riservatezza ed alla sicurezza delle informazioni acquisite in sede di audit; - predisposizione di una check-list, finalizzata all’acquisizione di tutte le informazioni necessarie e pertinenti alla valutazione e alla raccolta di evidenze oggettive;
- svolgimento. È consigliabile procedere come segue:
– audit (preliminare) documentale: è l’analisi dei documenti aziendali, al fine di conoscere approfonditamente la strutturazione del contesto organizzativo e di individuare le attività di trattamento svolte ed i soggetti che intervengono nel trattamento dei dati personali. I documenti oggetto di valutazione potranno essere, a titolo esemplificativo e non esaustivo: organigramma aziendale; registro dei trattamenti; mappatura dei trattamenti; procedure privacy (procedura di gestione delle violazioni di dati personali – procedura di conservazione – procedura per l’esercizio dei diritti dell’interessato); documenti propri del modello di gestione privacy (informative, consensi, nomine dei responsabili del trattamento, nomine dei soggetti autorizzati, nomine degli ADS, manuale privacy, valutazioni di impatto, valutazione dei rischi ecc.);
– audit di verifica: è effettuato attraverso interviste al personale autorizzato ed osservazione delle attività di trattamento di dati personali eseguite e degli ambienti in cui avviene il trattamento medesimo; - analisi delle risultanze: è il confronto tra i requisiti considerati (criteri di audit) e le evidenze raccolte, dal quale deriverà uno dei seguenti rilievi:
– non conformità;
– osservazioni.
Tali rilievi saranno annotati nel rapporto di audit. Sulla base dei rilievi effettuati e contenuti nel rapporto, l’organizzazione (il titolare del trattamento), procedendo preliminarmente all’analisi delle cause delle non conformità presenti, adotterà, secondo tempi determinati, le opportune azioni correttive. In tal senso, l’audit rappresenta uno strumento efficace per il perseguimento del miglioramento continuo dell’organizzazione aziendale.
Conclusioni
In conclusione, ogni titolare dovrebbe acquisire consapevolezza circa l’opportunità del ricorso allo strumento di audit, in quanto efficace strumento per la corretta valutazione del grado di conformità alla normativa privacy applicabile, per il miglioramento continuo e per la corretta qualificazione dei fornitori che agiscono in qualità di responsabili del trattamento.
