L’audit privacy è da considerarsi come una valutazione, svolta da un professionista (auditor), mirata a far emergere le criticità riguardanti la sicurezza dei dati personali.
Nella traduzione italiana del GDPR, il termine “audit” non viene di fatto mai menzionato come lo strumento atto alla verifica e al rispetto delle misure di sicurezza ma viene tradotto in termini diversi: revisione, controllo e verifica.
Una precisa definizione di audit viene offerta dalla norma UNI EN ISO 19011:2012 (Linee guida per gli audit dei sistemi di gestione) che lo descrive come un “processo sistematico, indipendente e documentato per ottenere evidenze degli audit e valutarle con obiettività, al fine di stabilire in quale misura i criteri di audit sono stati soddisfatti”.
Indice degli argomenti
L’audit privacy: individuazione, valutazione e gestione del rischio
L’attività di audit ha quindi come obiettivo quello dell’individuazione del rischio, della valutazione e, infine, della sua corretta gestione e può, come detto, essere svolto o da un professionista in nome e per conto del titolare o dal DPO nel caso la struttura sia obbligata per legge a nominare tale figura.
I rischi si possono classificati in due grandi aree:
- rischi di natura endogena;
- rischi di natura esogena.
Tra i rischi di natura endogena, i più frequenti sono quelli derivanti da eventi naturali (terremoti, incendi, inondazioni ecc.) e da errori umani (modifica, cancellazione e manomissione volontaria dei dati).
Rientrano invece tra i rischi di natura esogena quelli scaturenti dal danneggiamento di hardware e software, installazione di programmi indesiderati e via dicendo.
Tipologie di rischio, quindi, come si può capire, che hanno a che fare con l’aspetto informatico in quanto il progresso tecnologico ha avuto nel corso dei decenni un impatto sempre maggiore sulla quotidianità lavorativa di ognuno di noi, per questo i rischi di natura esogena, in particolare quello informatico, rappresentano la percentuale maggiore e sono quelli su cui si concentrerà maggiormente l’auditor.
L’audit privacy: gli obiettivi di sicurezza da raggiungere
Per poter effettuare un audit in maniera ottimale l’auditor deve innanzitutto definire, in condivisione con il titolare del trattamento, gli obiettivi di sicurezza da raggiungere (generalmente: integrità, riservatezza e disponibilità).
In questa fase si andranno poi a definire in concreto ruoli, responsabilità e competenze in capo all’auditor e delineare un programma organico di audit (l’audit non può essere un’attività fine a sé stessa, deve prevedere un periodico riesame per poter implementare il sistema).
Una volta fatto tutto ciò, si potrà procedere con l’individuazione e la gestione del rischio (Risk Management).
Il Risk Management si articola in diverse fasi:
- identificazione del rischio;
- individuazione delle minacce;
- individuazione dei potenziali danni che possono derivare;
- individuazione delle misure da attuare per contrastare tale rischio.
A seconda delle criticità riscontrate si possono intraprendere quattro diverse modalità di gestione:
- modificazione dei processi e/o modalità di gestione;
- trasferimento del rischio ad un altro soggetto;
- riduzione, attraverso processi di controllo, del livello di rischio;
- accettazione del rischio (nel caso non siano attuabili le modalità descritte ai punti precedenti).
Un audit, come si è detto, ha l’obiettivo di rendere conforme il processo aziendale con quanto stabilito dalla normativa europea di riferimento; tenendo in considerazione questo fondamentale obiettivo l’auditor procederà ad individuare eventuali rischi endogeni ed esogeni.
Inizialmente si andrà a verificare la presenza di eventuali rischi “strutturali” (relativi all’edificio) come per esempio: la mancata presenza dei vari sistemi di sicurezza (antincendio, antifurto ecc.). Importante è poi verificare se in passato si siano verificati eventi naturali straordinari quali: alluvioni, incendi, terremoti o altri eventi atmosferici.
Effettuati questi primi controlli generali, si passerà all’osservazioni e ai rilievi riguardanti i trattamenti all’interno del “sistema”. Per fare ciò occorre mappare i flussi di informazione attraverso quattro semplici passi:
- verificare dove il dato viene raccolto;
- individuare gli incaricati alla raccolta dei dati;
- determinarne le finalità;
- identificare dove il dato viene trattato.
Queste informazioni possono essere facilmente rintracciate prendendo visione del registro delle attività di trattamento (art. 30 GDPR). È importante sapere che la mancata adozione di questa fondamentale misura organizzativa rappresenta una criticità che influirà su tutta la restante parte di attività.
Lo stesso articolo 30 stabilisce l’esonero da tale adempimento per “… imprese o organizzazioni con meno di 250 dipendenti, a meno che il trattamento che esse effettuano possa rappresentare un rischio per i diritti e le libertà dell’interessato, il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati di cui all’articolo 9, paragrafo 1, o i dati personali relativi a condanne penali e a reati di cui all’articolo 10”.
Esaurita questa seconda fase, l’auditor potrà concentrare le proprie attenzioni sull’individuazione di eventuali rischi per i trattamenti effettuati, facendo attenzione agli aspetti relativi alla confidenzialità, integrità e disponibilità dei dati (CDI).
Occorrerà, per esempio, verificare le modalità con le quali il trattamento viene effettuato e se queste modalità prevedono l’utilizzo di strumenti elettronici o meno, se le persone incaricate del trattamento siano state istruite e sensibilizzate in materia di privacy dal titolare (corsi di formazione), se la documentazione privacy (informative, incarichi, consensi specifici ecc.) è stata predisposta e correttamente consegnata, se avviene un costante monitoraggio, da parte del titolare e dall’amministratore di sistema, dell’applicazioni delle misure di sicurezza tecniche ed organizzative.
Conclusasi anche quest’ultima fase l’auditor, sulla base delle informazioni raccolte, assegnerà un livello di rischio ad ogni trattamento individuato e suggerirà eventuali azioni correttive per ridurre quanto più possibile quest’ultimo attraverso la redazione di una specifica relazione.
Conclusioni
Come menzionato in precedenza, l’audit privacy inteso come sistema di monitoraggio non può esaurirsi in un unico sopralluogo ma deve prevedere un periodico controllo sul sistema di gestione dei dati per poter avvicinarsi quanto più possibile al concetto di accountability espresso dal GDPR.
Nel caso di audit effettuati dal DPO per l’espletamento delle proprie funzioni, il GDPR non definisce la frequenza con cui debba effettuarsi questa specifica attività, una soluzione ottimale potrebbe essere quella che prevede dai due ai quattro audit annuali a seconda della complessità del sistema oggetto di analisi, risulta pacifico che una sola visita annuale non permetta in primis al titolare e in secundis al DPO di avere un quadro dettagliato e soprattutto aggiornato della situazione.
