Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

L'approfondimento

Audit dei responsabili esterni del trattamento: ecco come si svolgono

Un utile strumento a disposizione del titolare per valutare se il responsabile esterno designato abbia rispettato il contratto garantendo adeguatezza al GDPR: gli audit si basano su procedure standard che contemplano domande proprio per verificare tali aspetti

27 Ago 2019
D

Riccardo Di Gioia

Specialista Privacy


Gli audit dei responsabili esterni del trattamento dei dati: un approfondimento normativo su che cosa sono e come si svolgono. Tutti i dettagli su questa pratica e perché è importante alla luce del GDPR, con particolare attenzione alle procedure da seguire e le domande da porre per valutare la compliance del responsabile.

Il considerando 81 del GDPR

Per iniziare ad approfondire il tema, è utile individuare il framework normativo. Il considerando 81 del GDPR prevede esplicitamente che il Titolare, quando affidi delle attività di trattamento ad un responsabile che le esegua per suo conto, debba ricorrere unicamente a soggetti che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative che soddisfino i requisiti del regolamento, in particolare in termini di conoscenza specialistica, affidabilità e risorse. Il considerando prosegue “suggerendo” che l’esecuzione dei trattamenti da parte di un responsabile del trattamento “dovrebbe essere disciplinata da un contratto o da un altro atto giuridico a norma del diritto dell’Unione o degli Stati membri che vincoli il responsabile del trattamento al titolare”.

All’interno di questo atto giuridico (non necessariamente un contratto) devono essere specificati (stipulati) la materia disciplinata, la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati. In sintesi, come previsto per l’informativa sul trattamento dei dati personali (art. 13), anche nell’atto giuridico tra titolare e responsabile non è ammessa una generica autorizzazione al trattamento, ma ritroviamo gli stessi limiti, previsti per il trattamento dei dati dell’interessato (cliente/utente). Questa omogeneità si riscontra anche nella chiusura del considerando 81 dove è specificato che, dopo il completamento del trattamento per conto del titolare, il responsabile dovrebbe, a scelta del titolare del trattamento, restituire o cancellare i dati personali, salvo ovviamente diverse prescrizioni da parte del diritto dell’Unione o degli Stati membri (es. obblighi legali, fiscali, ecc.).

L’articolo 28

Il risultato del considerando 81 è l’articolo 28 GDPR “Responsabile del trattamento” che disciplina i casi in cui un trattamento debba essere effettuato per conto del titolare da un soggetto esterno. Su questo articolo del GDPR e sulla sua importanza è stato detto molto, si è anche dibattuto e tuttora si dibatte sui casi concreti in cui la linea di demarcazione tra responsabile e titolare autonomo è molto labile (es. avvocati, commercialisti, medici del lavoro). Escluso il comma 10, sul quale andrebbe fatto un discorso a parte, il nucleo centrale di questo articolo è rappresentato dal comma 3, ovvero l’obbligo di stipulare un atto giuridico che vincoli il responsabile al trattamento dei dati per conto del titolare in maniera conforme al Regolamento. La ratio della norma è chiara, sarebbe assurdo vincolare il titolare ad una serie di obblighi e standard di sicurezza lasciando una “lacuna” del genere: la possibilità di far trattare i dati ad un altro soggetto senza nessun vincolo; il Regolamento, in questo caso, perderebbe tutta la sua efficacia.

Questo atto giuridico deve prevedere anche una serie di obblighi (e diritti) per il responsabile del trattamento che lo stesso comma 3 elenca dettagliatamente.
Tutte le disposizioni indicate nelle lettere del comma 3 si trasformeranno naturalmente in clausole dell’atto giuridico tra responsabile e titolare, senza creare particolari problemi ad entrambi. L’unico punto che apre importanti scenari e altrettanti interrogativi è il comma 3 lettera h), ovvero la previsione che il responsabile “metta a disposizione del titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui al presente articolo e consenta o contribuisca alle attività di revisione, comprese le ispezioni, realizzati dal titolare del trattamento o da un altro soggetto da lui incaricato”.

Audit, a cosa servono

Lo strumento che un titolare ha per eseguire un’attività di revisione e/o ispettiva nei confronti di un responsabile (leggi: fornitore), sono gli Audit: valutazioni (obiettive) finalizzate a stabilire in quale misura i criteri prefissati nell’atto giuridico siano stati soddisfatti o meno.

L’esperimento degli audit è ormai una prassi consolidata in quasi tutte le realtà aziendali di una certa grandezza, questi spesso vengono intrapresi all’interno di una vera e propria procedura standard aziendale, attraverso l’adozione di un Sistema di qualità (SGQ). Approfondendo la riflessione, però, ci si rende subito conto della difficoltà di applicazione di uno schema di Audit classico ad un soggetto terzo: la posizione preponderante del titolare del trattamento rispetto al responsabile, come sancita dall’art.28, non sempre rispecchia i reali “rapporti di forza” tra l’azienda titolare dei dati e il fornitore.

Svolgere un Audit presso società terze spesso viene vista come un’ingerenza, un abuso, ma in realtà completa il percorso di accountability aziendale e dimostra l’assoluta attenzione alla privacy dei propri clienti e dei propri dipendenti. Effettuata la nomina ex art. 28, molti titolari si sentono “sicuri”, ritengono di aver adempiuto al dettato normativo, ma in realtà le attività ispettive presso i fornitori, oltre a migliorare l’accountability, assolvono altri 2 compiti: fungono da sprone per un trattamento dei dati conforme al dettato normativo anche nell’azienda oggetto dell’Audit, ed evitano un danno di immagine che comunque investirebbe il Titolare in caso di violazione dei dati (data breach – art. 33 e 34).

È infatti chiaro che un furto di dati personali dai server del responsabile esterno, per quanto lo chiami in causa per il risarcimento materiale del danno e possa riparare il titolare da eventuali sanzioni del garante, porterà inevitabilmente ad un danno d’immagine del titolare con conseguente sfiducia dei clienti nell’affidargli ulteriori dati. Ecco perché l’audit presso i responsabili è più utile di quanto si pensi, soprattutto come strumento di prevenzione di un danno per il titolare prima che come condotta virtuosa da mostrare al Garante in sede di ispezione.

La necessità di un contratto

Al momento della stipula di un contratto (o altro atto giuridico) tra titolare e responsabile, oltre ad inserire tutti gli altri obblighi e diritti previsti dall’art. 28, è sempre utile inserire una clausola come quella che riporto di seguito:
“La Società (il titolare) ha diritto di ottenere dal Responsabile tutte le informazioni (relative alle misure organizzative e di sicurezza) necessarie per verificare l’affidabilità e dimostrare il rispetto delle istruzioni e degli obblighi affidati allo stesso o derivanti dalla normativa italiana ed europea. A tal fine, la Società ha il diritto di disporre verifiche a campione o specifiche attività di audit o di rendicontazione in ambito privacy e sicurezza, avvalendosi di personale espressamente incaricato a tale scopo, presso le sedi del Responsabile”.

In questo modo, si sancisce contrattualmente la possibilità di verifiche in loco sulle modalità di trattamento dei dati onde prevenire violazioni di dati (data breach) che potrebbero danneggiare il titolare anche se venissero risolte tempestivamente.

Come si svolge l’audit

Sancita contrattualmente la possibilità di eseguire verifiche ispettive, il titolare, coadiuvato dal DPO, dovrà predisporre una procedura standard, considerato che la clausola contrattuale non permette di entrare nella sede dell’azienda e girare come dei segugi aprendo schedari e cartelle di pc.

Nel silenzio del GDPR sulle modalità di esecuzione della verifica ispettiva, è fondamentale predisporre una serie di controlli che varieranno a seconda della tipologia di dati personali e delle finalità. Normalmente è sufficiente predisporre un questionario standard, una scheda di audit, da sottoporre al responsabile o al soggetto da questi preposto al trattamento dei dati; all’interno del questionario devono essere poste una serie di domande che possano tranquillizzare il titolare su macro tematiche che poi andranno approfondite se non rispettano le aspettative e gli standard del titolare stesso.

Per esempio si potrebbe partire da una serie di domande a risposta “secca” (sì o no), che nella maggior parte dei casi sono sufficienti a stabilire un livello minimo di sicurezza; ovviamente il livello minimo è sempre dettato dalla tipologia di dati personali trattati dal responsabile, quindi il questionario dovrà essere tanto più specifico quanto più particolare sarà la categoria dei dati (es. particolari categorie di dati, ex sensibili, art. 9 e 10 GDPR):

  • È stato nominato un DPO dal Titolare? (Verificare la nomina);
  • Esiste un referente/responsabile del trattamento dei dati personali? (Designato);
  • Il personale coinvolto nella gestione dei dati è stato informato e formato sulle modalità di trattamento dei dati personali e sul GDPR? (Visionare documentazione su formazione);
  • I dati personali trattati per conto di AQP vengono trasmessi a sub-fornitori? Se si, Si dispone di nomina a Responsabile esterno del sub-fornitore?
  • Si dispone di nomine/certificazioni sulla sicurezza del sub-fornitore?
  • I dati vengono conservati su server ubicati in Italia?
  • Esiste un registro dei trattamenti (art. 30) eseguiti per conto di AQP o di altre società?

A queste domande “base”, le cui risposte, se positive, saranno sufficienti a garantire la sicurezza dei dati per tutte quelle società, principalmente PMI, che trattino dati personali comuni o non basati su nuove tecnologie (es. dati biometrici) o comunque non su larga scala (art. 35), si potranno aggiungere ulteriori quesiti, in realtà più complesse, senza necessariamente complicare il livello di elaborazione della verifica ispettiva; sarà sufficiente scendere ancor più nel dettaglio con le domande a risposta secca

  • Esiste un Regolamento interno e/o una Policy sull’utilizzo degli strumenti informatici (Pc, email, ecc.)?
  • Il Sistema Operativo, il suo firewall e l’antivirus sono periodicamente aggiornati e configurati con le opportune estensioni che consentano il ripristino immediato delle funzionalità a seguito di un incidente informatico?
  • Esiste ed è mantenuto aggiornato un inventario dei dispositivi, software, servizi e applicazioni informatiche in uso presso la società?
  • Vengono periodicamente effettuati backup che consentano il ripristino immediato delle funzionalità a seguito di incidente informatico?
  • I sistemi sono configurati per generare password di sufficiente complessità, richiedendone la variazione ad intervalli periodici (almeno ogni 6 mesi)?
  • Il personale autorizzato all’accesso dispone di credenziali personali con privilegi profilati, non condivise con altri e aggiornate nelle corrette attribuzioni?
  • I sistemi informatici coinvolti nella gestione dei dati del trattamento sono dotati di controllo degli accessi centralizzato?
  • Ogni utente accede solo alle informazioni di sua competenza?
  • Esiste Amministratore di sistema (Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema – 27 novembre 2008 – G.U. n. 300 del 24 dicembre 2008 – modificato in base al provvedimento del 25 giugno 2009)?

Ancora, si potranno sostituire (o affiancate) altre domande qualora, per esempio, il trattamento dei dati non avvenga (o non avvenga soltanto) sotto forma digitale ma cartacea:

  • I soggetti che hanno accesso ai documenti contenenti dati personali sono identificati ed identificabili?
  • I locali dove vengono consultati o manipolati (trattati) i dati in questione sono a libero accesso?
  • I dati cartacei (e digitali) sono custoditi in armadi chiusi a chiave (rack)?
  • Esiste impianto antincendio a norma (anche la distruzione dei dati è un trattamento e può costituire un data breach)?
  • Esiste personale di sorveglianza dei locali della società?
  • Il personale di sorveglianza è interno o esterno alla società? Se è esterno è nominato a sua volta Responsabile?

Lo scenario futuro

Ottenute risposte positive ai quesiti esposti ed esaminata la documentazione comprovante le nomine e le altre misure di sicurezza adottate, il titolare avrà ricevuto sufficiente garanzia che trattamento dei suoi dati avvenga in modo conforme al Regolamento (e all’atto giuridico stipulato); la verifica, inoltra, avrà inoltra assolto alla funzione di spronare tutti i fornitori all’adeguamento al dettato normativo.

In un futuro prossimo, le società con procedure di trattamento non conformi al GDPR dovrebbero ridursi fino ad un numero infinitesimale, atteso che, per il principio di privacy by design e by default, nessun titolare vorrà affidarsi ad un responsabile che non fornisca sufficienti garanzie sul trattamento dei propri dati. Fino a quel momento, saranno le nomine ex art. 28 e gli audit ispettivi privacy a fungere da accelerante del processo di accountability delle aziende non ancora allineate.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5