Il titolare del trattamento deve ricorrere, ai sensi dell’articolo 28 del Regolamento UE 679/2016 (GDPR), a responsabili del trattamento che “presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato”. Per tale motivo, è importante che il titolare scelga in modo accurato e controlli i soggetti che trattano dati personali per conto suo.
Una volta effettuata tale scelta e quindi affidata una determinata attività a un soggetto terzo, il rapporto tra titolare del trattamento e responsabile del trattamento dovrà essere disciplinato da un apposito contratto, che dovrà definire, tra i vari aspetti, “la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento”.
Ma la stipula dell’accordo di nomina a responsabile del trattamento è solo l’inizio del rapporto tra titolare e responsabile, che dovranno collaborare al fine di trattare i dati personali in modo conforme alla normativa applicabile e nel rispetto dei diritti dei soggetti interessati.
Tra gli obblighi del responsabile del trattamento, l’articolo 28.3 lettera h) prevede l’obbligo di mettere “a disposizione del titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui al presente articolo e consenta e contribuisca alle attività di revisione, comprese le ispezioni, realizzati dal titolare del trattamento o da un altro soggetto da questi incaricato”.
Da ciò si evince la possibilità per il titolare di effettuare controlli e audit nei confronti del responsabile, che serviranno a verificare l’operato dello stesso ed a comprendere al meglio le misure di sicurezza tecniche e organizzative del responsabile.
Tali audit sono fondamentali in un’ottica di accountability, in quando consentiranno al titolare di dimostrare di aver controllato e di controllare tutti i soggetti che trattano dati personali per conto suo, nonché permetteranno al titolare di fornire idonee istruzioni laddove rilevi alcune criticità nel corso dell’audit.
Audit e GDPR: competenze e linee guida per svolgere correttamente le verifiche in ambito privacy
Indice degli argomenti
Definizione di audit e utilità
L’audit effettuato sul trattamento dei dati personali è una valutazione in merito al rispetto della normativa applicabile e delle istruzioni fornite dal titolare. Gli audit possono essere effettuati nei confronti degli uffici e soggetti che trattano dati all’interno dell’azienda, al fine di verificare il comportamento delle varie funzioni aziendali, nonché nei confronti dei soggetti terzi nominati quali responsabili del trattamento.
Tali audit andranno condotti dal titolare per mezzo del Data Protection Officer (DPO), di un soggetto opportunamente incaricato o eventualmente di un soggetto terzo, esterno all’azienda. In taluni casi è possibile che il titolare decida di ricorrere all’audit prima della stipula del contratto, per poter verificare le modalità di lavoro del responsabile prima della sottoscrizione del contratto e aver modo di scegliere il fornitore più idoneo e che offra maggiori garanzie in merito al trattamento dei dati personali.
È evidente che il titolare potrà incontrare qualche difficoltà nell’effettuazione dell’audit, in quanto il responsabile potrebbe non essere intenzionato a rendere note al titolare tutte le proprie misure di sicurezza e i propri processi. Molti responsabili considerano infatti l’audit quale ingerenza da parte del titolare, ma è pur vero che tali controlli sono importanti per l’accountability di entrambi i soggetti e permettono anche di dimostrare, nell’ottica di un’eventuale ispezione, di aver messo in “atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio”, come richiesto dall’articolo 32 del GDPR.
Sarà quindi opportuno disciplinare la facoltà di effettuazione degli audit da parte del titolare e le relative modalità di esecuzione nell’accordo di nomina al trattamento dei dati personali (c.d. Data Processing Agreement), in modo da evitare eventuali contestazioni nel momento della richiesta di effettuazione dell’audit.
Inoltre, i suddetti audit saranno utili al titolare per prevenire eventuali violazioni di dati personali, fornendo al responsabile istruzioni al trattamento dei dati personali, anche in seguito ai controlli effettuati, che permetteranno di aver una visione più completa del modo di operare e dei processi interni al responsabile del trattamento.
Modalità di esecuzione
Il titolare dovrà in primo luogo dotarsi di una procedura di effettuazione degli audit, da utilizzare sia per gli audit interni che per quelli nei confronti dei responsabili del trattamento o di ogni altro soggetto che interviene nel trattamento, nonché definire un piano di audit periodico.
La procedura dovrà definire in modo particolare i seguenti aspetti:
- i soggetti che si occuperanno degli audit;
- la modalità di esecuzione dell’audit;
- le domande e i controlli da effettuare;
- le valutazioni e le conclusioni.
In merito ai soggetti incaricati all’effettuazione degli audit, gli stessi saranno definiti dall’azienda e potranno essere interni (Data Protection Officer o altro soggetto nominato dall’azienda) o esterni (consulenti nominati ad hoc). Tali soggetti dovranno essere formati in modo adeguato e dovranno avere in ogni caso un obbligo di riservatezza nei confronti dell’azienda, tenuto conto che nel corso dell’audit potrebbero venire a conoscenza di informazioni sensibili e non divulgabili all’esterno.
Per quanto attiene alle modalità di esecuzione, l’audit potrà essere svolto in presenza presso la sede o un’unità locale del responsabile del trattamento (es. presso l’infrastruttura di un call center) oppure da remoto o eventualmente anche attraverso semplici domande o checklist da inviare alla controparte.
Prima dell’effettuazione di un audit, occorrerà poi preparare le domande da effettuare e i relativi controlli. Tali quesiti dovranno riguardare le misure organizzative e tecniche prese dal responsabile del trattamento, nonché l’adempimento agli obblighi previsti dal GDPR (es. nomina di un DPO, tenuta del Registro delle attività di trattamento ecc.) e dall’accordo di nomina.
Durante l’attività di audit è consigliabile redigere un verbale, dove si tenga traccia di tutte le attività effettuate. In un secondo momento il soggetto incaricato dell’audit dovrà finalizzare l’attività di verifica, predisponendo le conclusioni, che dovranno indicare le criticità e i punti da migliorare, nonché definire eventuali istruzioni che dovranno essere seguite dal responsabile.
