GUIDA ALLA NORMATIVA

Audit e GDPR: competenze e linee guida per svolgere correttamente le verifiche in ambito privacy

Svolgere delle verifiche in ambito privacy è molto complesso e richiede competenze molteplici, specialistiche ed una grande esperienza che non si può improvvisare. Ecco una guida pratica per evitare i rischi dell’attività di audit e conseguire un reale adeguamento al GDPR

15 Ott 2019
B
Giancarlo Butti

Internal Auditor - Esperto Privacy e Cyber Security


Il tema delle verifiche in ambito privacy è già stato in parte affrontato[1] anche se limitatamente ai rischi che le contraddistinguono.

In questo articolo affrontiamo l’argomento in modo più strutturato, cercando di cogliere i vari aspetti che caratterizzano un’attività decisamente molto complessa e che a volte viene affrontata con una visione non esaustiva, cercando di riciclare metodologie già in uso per altri ambiti.

Audit e GDPR: perché svolgere verifiche in ambito privacy

Le motivazioni per le quali si dovrebbe svolgere un ’attività di audit, o meglio una verifica in ambito privacy sono molteplici: la prima – e più intuitiva – è per tutelare l’azienda rispetto a sanzioni[2] o a richieste di risarcimenti di danni da parte di terzi.

Tale attività ha tuttavia anche altre finalità: è uno strumento di accountability (come verrà chiarito più avanti), risponde all’obbligo di verifica e sorveglianza per il DPO, può essere un’attività di supporto e consulenza per il Titolare del trattamento.

Per quale motivo, quindi, parliamo di verifiche e non di audit in senso stretto?

Per il semplice motivo che la normativa non prevede specificamente regole con cui effettuare le verifiche, e in realtà non prevede nemmeno che si debbano svolgere delle verifiche (salvo quanto ad esempio “suggerito” dall’art. 32.1.d).

Solo il DPO (ma non tutti hanno l’obbligo di averlo) ha fra i propri compiti formali quello di effettuare un’attività di “sorveglianza” dell’osservanza della normativa privacy da parte del Titolare/Responsabile.

Quindi il Titolare/Responsabile o il DPO che vogliono (o devono) svolgere un’attività di verifica possono utilizzare la metodologia che più loro aggrada per svolgere questo tipo di attività.

Ovviamente, nel caso in cui desiderino svolgere una vera e propria attività di audit possono utilizzare standard e metodologie già disponibili, come quelle proposte da ISO (ad esempio la 19011) o da ISACA (per la parte ICT), da The Institute of Internal Auditors, ricordando tuttavia che non esiste alcun obbligo normativo al riguardo e che nessuna di queste metodologie è di per sé esaustiva e adatta allo svolgimento di un’attività di verifica che copra tutti gli aspetti di una normativa così complessa come quella sulla privacy.

Questo era vero già con la normativa precedente, ma lo è ancora di più dopo l’entrata in vigore del GDPR.

Infatti, cambia il perimetro di tutela, molti adempimenti che in precedenza erano impliciti ora devono essere formalizzati e la loro assenza è sanzionata, vengono introdotti ex novo o sviluppati principi e concetti quali quelli di accountability e privacy by design.

Audit e GDPR secondo il principio di accountability

Ad esempio, secondo il principio di accountability il Titolare deve essere in grado di dimostrare in ogni momento la propria conformità, come ripetutamente citato in numerosi articoli e considerando del GDPR:

  • (74) …il titolare del trattamento dovrebbe essere tenuto a mettere in atto misure adeguate ed efficaci ed essere in grado di dimostrare la conformità delle attività di trattamento con il presente regolamento, compresa l’efficacia delle misure…
  • (85) … a meno che il titolare del trattamento non sia in grado di dimostrare che, conformemente al principio di responsabilizzazione…
  • Articolo 5.2 – Principi applicabili al trattamento di dati personali: Il titolare del trattamento è competente per il rispetto del paragrafo 1 e in grado di comprovarlo responsabilizzazione»).
  • Articolo 24 – Responsabilità del titolare del trattamento: … il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare
  • Articolo 35.7.d – Valutazione d’impatto sulla protezione dei dati: …e dimostrare la conformità al presente regolamento…

Dal punto di vista di chi effettua le verifiche quest’obbligo si traduce in un ipotetico vantaggio: il suo adempimento rende (dovrebbe rendere…) disponibile da subito evidenze per l’audit. La mancanza di evidenze è di per sé stessa una mancanza di conformità e quindi un primo oggetto di rilievo[3] in sede di verifica.

Per contro, la responsabilizzazione del Titolare/Responsabile fa sì che molte azioni da compire in adempimento del GDPR non siano definite con regole certe e assolute (non ci sono più ad esempio le misure minime di sicurezza).

In questi casi, per il Titolare si pone il problema di come fare a dimostrare la propria conformità.

Analogamente, per chi effettua le verifiche si pone il problema di non avere punti di riferimento certi: ad esempio, quando una misura di sicurezza è da ritenersi idonea?

In realtà sono proprio le verifiche interne che possono aiutare il Titolare/Responsabile a dimostrare la propria conformità, così come indicato dal parere 3/2010 del WP29:

53. Esistono vari metodi a disposizione dei responsabili del trattamento per valutare l’efficacia (o l’inefficacia) delle misure. Per il trattamento di dati di maggiori dimensioni, più complesso e ad alto rischio, gli audit interni ed esterni sono metodi comuni di verifica. Anche il modo in cui vengono condotti gli audit può variare, da audit completi ad audit negativi (che possono a loro volta assumere forme diverse). Nel decidere come garantire l’efficacia delle misure, il Gruppo di lavoro articolo 29 suggerisce di utilizzare gli stessi criteri applicati per decidere le misure mutuati dall’articolo 17 della direttiva 95/46/CE, vale a dire, i rischi presentati dal trattamento e la natura dei dati. Pertanto, il modo in cui un responsabile del trattamento deve assicurare l’efficacia delle misure dipende dalla sensibilità dei dati, dalla quantità dei dati trattati e dai particolari rischi che il trattamento comporta. Gli orientamenti del Gruppo di lavoro relativi alle misure potrebbero comprendere anche indicazioni su questo aspetto.

I tipi di verifica che rilevano in ambito privacy

WEBINAR - 3 NOVEMBRE
CISO as a Service: perché la tua azienda ha bisogno di un esperto di Cyber Security?
Sicurezza
Cybersecurity

I tipi di verifica che rilevano in ambito privacy sono, principalmente:

  • l’autovalutazione degli adempimenti effettuati dal Titolare/Responsabile tramite strutture interne (audit/compliance) o esterne
  • la valutazione degli adempimenti effettuati dal DPO anche per il tramite di strutture interne (audit/compliance) o esterne
  • la valutazione di un Titolare sugli adempimenti contrattuali del Responsabile
  • la valutazione di un Titolare sugli adempimenti contrattuali del DPO (intesa semplicemente come corrispondenza fra l’operato del DPO e quanto concordato contrattualmente, senza entrare nel merito delle modalità con cui tali attività sono state svolte)
  • la valutazione di un Titolare sui requisiti del DPO.

Le verifiche in ambito privacy sono inoltre caratterizzate dal dovere controllare sia ambiti formalizzati – cioè ambiti per i quali la normativa entra nel dettaglio di quali siano i requisiti attesi (ad esempio, i contenuti di una informativa) – sia ambiti non formalizzati, cioè ambiti dove la responsabilità della definizione dei requisiti è in carico allo stesso Titolare (ad esempio le misure di sicurezza).

In particolare, i primi possono comprendere verifiche su:

  • informative
  • designazioni
  • basi giuridiche

Mentre gli ambiti non formalizzati possono ad esempio comprendere, oltre alle verifiche sulle misure di sicurezza, le modalità con cui sia stata effettuata la relativa analisi dei rischi.

È inoltre possibile effettuare verifiche anche su temi per i quali esistono specifici provvedimenti che integrano la normativa primaria, quali ad esempio:

  • amministratori di sistema
  • videosorveglianza
  • firma grafometrica

o verifiche specifiche in ambito tecnico/organizzativo:

  • profilazione degli utenti
  • tempi di conservazione
  • esercizio dei diritti
  • qualità dei dati

Lo svolgimento delle attività di audit

Considerando che lo svolgimento di una verifica complessiva in ambito privacy può essere svolta solo su realtà molto piccole, è opportuno che si pianifichino le attività in funzione delle aree di maggior rischio, al fine di definire un vero e proprio programma di audit.

Il rischio deve essere valutato secondo due diversi parametri:

  • prima di tutto vanno valutate le aree che comportano un elevato rischio per i diritti e le libertà fondamentali delle persone fisiche;
  • secondariamente vanno considerate le aree che comportano un elevato rischio sotto il profilo sanzionatorio o risarcitorio per l’azienda.

Una prospettiva, questa, che contrasta con la normale logica con cui si pianificano le attività di audit (che considerano in genere solo il secondo aspetto), ma che può contribuire a dimostrare un corretto approccio privacy by design da parte del Titolare/Responsabile.

È quindi opportuno procedere con un primo assessment complessivo che valuti il livello di copertura delle implementazioni effettuate per l’adeguamento alla nuova normativa; tale attività può contribuire anche a definire le aree nelle quali sia opportuno attivare una verifica nel continuo, quali potrebbero essere ad esempio la gestione dei consensi o delle richieste di esercizio dei diritti da parte degli interessati.

Al riguardo si riporta lo stralcio di uno schema di assessment di livello molto alto – tratto dal libro realizzato in collaborazione con l’Avv. Maria Roberta Perugini “Audit e GDPR – Manuale per le attività di verifica e sorveglianza del titolare e del DPO[4]” –, la cui finalità è proprio quella di individuare le aree di copertura delle implementazioni della normativa effettuate da parte del Titolare.

Il Titolare ha:

  • Compilato i Registri delle attività di trattamento?
  • Definito ed implementato misure tecnico/organizzative al fine di garantire una gestione privacy by design e privacy by default?
  • Individuato e formalizzazione i vari ruoli dei soggetti che partecipano ai trattamenti?
  • Individuato le basi giuridiche del trattamento?
  • Definito le informative da rilasciare agli interessati e le relative procedure di rilascio?
  • Definito ed implementato misure tecnico/organizzative per il rispetto dei principi previsti dall’art. 5?
  • Effettuato e documentato una analisi dei rischi sui diritti e le libertà delle persone fisiche?
  • Definito ed implementato misure tecnico/organizzative ai fini di garantire la sicurezza ai sensi degli artt. 25 e 32?
  • Definito ed implementato misure tecnico/organizzative per la gestione delle violazioni di dati personali?
  • Definito ed implementato misure tecnico/organizzative per la gestione dei diritti degli interessati?
  • Individuato e formalizzazione le misure per il trasferimento di dati all’estero?
  • Formalizzato l’eventuale designazione del DPO, dei relativi compiti e posizionamento?
  • Formalizzata la valutazione delle competenze e caratteristiche del DPO?

Il Titolare:

Artt. 6, 7, 8, 9, 10

  • Ha predisposto una procedura per la valutazione della corretta base giuridica del trattamento?
  • Ha predisposto una procedura per la valutazione delle condizioni che consentono il trattamento dei dati di cui agli artt. 9 e 10?
  • Ha predisposto una procedura per la corretta formulazione della richiesta del consenso, là dove è richiesto?
  • Ha predisposto una procedura per la gestione del consenso nel tempo?
  • Ha predisposto una procedura per la corretta gestione della richiesta del consenso per quanto riguarda l’offerta diretta di servizi della società dell’informazione ai minori?
  • Ha predisposto una procedura per la verifica della condizione in cui un minore possa esprimere il consenso?

Definite le aree di maggiore rischio, le successive verifiche devono avvenire con il livello di dettaglio che dovrà essere valutato dall’auditor.

Audit e GDPR: le informative

Ad esempio, sempre riprendendo uno stralcio di check list tratta dal sopra citato volume, nel caso delle informative l’auditor dovrà verificare:

  • se il Titolare ha predisposto per ogni categoria di interessati i cui dati sono raccolti presso i medesimi una adeguata informativa e se tale informativa:
    a) esprime le informazioni richieste in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro
    b) viene fornita all’interessato, nel momento in cui i dati personali sono ottenuti
  • se l’informativa contiene tutte le informazioni previste dalla normativa, ed in particolare:
    a) l’identità e i dati di contatto del Titolare del trattamento e, ove applicabile, del suo rappresentante
    b) i dati di contatto del responsabile della protezione dei dati, ove applicabile
    c) le finalità del trattamento cui sono destinati i dati personali nonché la base giuridica del trattamento
    d) qualora il trattamento si basi sull’articolo 6, paragrafo 1, lettera f), i legittimi interessi perseguiti dal Titolare del trattamento o da terzi
    e) gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali

Per quanto dettagliata, la formulazione di una verifica di questo tipo nulla dice circa il fatto che l’informativa sia effettivamente conforme; fermarsi a questo livello di analisi può essere molto utile, ma non garantisce la conformità alla normativa.

L’informativa potrebbe infatti essere ineccepibile dal punto di vista formale ma non rispecchiare le reali modalità con cui si svolge un trattamento. Una tale informativa risulterebbe quindi non conforme e, come tale, sanzionabile.

Vi sono alcune caratteristiche comuni proprie degli audit degli ambiti formalizzati, come quello sulle informative:

  • verifica di corrispondenza (impianto) fra i requisiti normativi ed il contenuto dei documenti prodotti dall’organizzazione auditata (ad esempio il contenuto delle informative deve corrispondere a quanto richiesto dalla normativa);
  • verifica di coerenza fra i documenti prodotti dall’organizzazione auditata (ad esempio i tempi di conservazione indicati nei registri delle attività di trattamento devono corrispondere a quelli indicati nelle informative);
  • verifica di funzionamento; quello che viene descritto nei documenti aziendali deve corrispondere all’agito.

Chi effettua le verifiche dovrebbe in realtà predisporre, per ogni ambito di verifica, una tabella del tipo di quella sottostante, sempre tratta dal già citato volume e che riporta come esempio le verifiche sulle informative.

OggettoImpianto teoricoAgito
Verifica dei requisiti normativiIl contenuto dell’informativa corrisponde a quanto richiesto dalla normativa?

Il testo è semplice e chiaro?

I trattamenti si svolgono esattamente come descritto nella informativa?
Verifica delle procedure di gestione.Esistono specifiche procedure per:
  • la stesura delle informative
  • la scelta della forma di rilascio (carta, on line…)
  • la messa a disposizione di chi deve rilasciarle
  • il rilascio
  • la raccolta delle evidenze
Verifica di esistenza

Verifica di efficacia, efficienza, coerenza

Verifica dell’agito
Verifica delle procedure di supporto.Esistono specifiche procedure per:
  • il monitoraggio dell’esigenza di nuove informative
  • il monitoraggio dell’esigenza di variazione delle informative esistenti
Verifica di esistenza

Verifica di efficacia, efficienza, coerenza

Verifica dell’agito
Verifica di coerenzaIl contenuto delle informative è coerente con quanto espresso in altri documenti aziendali?

Il contenuto delle procedure è coerente con quanto espresso in altri documenti aziendali?

Come si evince dalla tabella, il livello di dettaglio con cui è possibile effettuare una verifica può essere molto diversificato.

Tuttavia, è certo il fatto che la conformità alla norma può essere garantita solo da un audit che comprenda anche la verifica della reale operatività del Titolare e della sua effettiva corrispondenza con quanto rappresentato in documenti formalmente corretti.

È per tale motivo che l’uso di semplici check list, facilmente reperibili anche in rete, o l’affidamento ad attività di mera verifica formale non garantiscono il Titolare rispetto a possibili sanzioni: la conformità alla normativa privacy non è una conformità basata solo su aspetti formali.

È quindi importante che un Titolare, qualora utilizzi consulenti esterni, sappia valutare adeguatamente il tipo di verifica che gli viene offerto.

Verifiche in ambiti privacy non formalizzati

Ancora più complessa è una verifica degli ambiti non formalizzati, per i quali non esistono riferimenti oggettivi con cui confrontarsi.

Al riguardo è quindi opportuno rifarsi a buone pratiche o a documenti/modelli/strumenti realizzati da enti autorevoli, quali ad esempio:

  • EDPB (Ex WP29);
  • Autorità Garanti, in particolare CNIL, AEPD, ICO…;
  • ENISA;
  • ISO (29134, 29151…).

L’uso di modelli prodotti da tali enti agevola la dimostrazione della conformità in quanto tali modelli, specie se prodotti da Autorità Garanti, sono da ritenersi conformi alla normativa.

Viceversa, l’uso di modelli auto prodotti dal Titolare/Responsabile (anche su indicazione di autorevoli consulenti) comporta, da parte di chi effettua la verifica, anche una preventiva difficile valutazione di conformità del modello stesso.

Ad esempio per la redazione di una DPIA esistono modelli proposti dal CNIL e dall’AEPD; per l’analisi del rischio esistono i modelli proposti da ENISA o dai già citati CNIL e AEPD.

Perché dunque sviluppare altri modelli o tentare di riciclare impropriamente strumenti che hanno come oggetto l’analisi dei rischi degli asset aziendali, o delle informazioni, quando invece l’oggetto tutelato dal GDPR sono i diritti e le libertà delle persone fisiche?

ANALISI DEI RISCHI AI SENSI DEL GDPR[5]

FUORI PERIMETROOBBLIGATORIA
Rischio aziendale

Rischio derivante da violazione di dati di persone non fisiche (art. 130)

• Interruzione, alterazione o limitazione nella produzione o erogazione dei servizi

• Perdite economiche (dirette, indirette, consequenziali)

• Perdita della clientela

• Rischi reputazionali (danni di immagine)

• Rischi legali, contrattuali

• Rischio sanzionatorio

Rischio derivante da violazione di dati di persone fisiche

Diritti e libertà fondamentali

DATI PERSONALI

È evidente che tali strumenti sono quantomeno inadeguati ed il loro uso, se non opportunamente adattato, costituisce di per sé stesso una non conformità.

Conclusioni

Le attività di verifica in ambito privacy sono una materia complessa e “pericolosa” che dovrebbe essere svolta solo da specialisti; non basta avere competenze in ambito privacy per potere approcciare correttamente questa materia, né bastano ovviamente corsi di poche ore per creare un auditor.

Esprimere un parere di conformità su tematiche ampie e articolate espone chi effettua la verifica a rilevanti rischi di errore.

È quindi fondamentale, che chi effettua la verifica, al fine di evidenziare esattamente ciò che è stato oggetto di verifica ma soprattutto ciò che non lo è stato, definisca in modo assolutamente preciso perlomeno:

  • il perimetro dell’audit;
  • il periodo dell’audit;
  • la finalità dell’audit;
  • il tipo di verifica effettuata (ad esempio se si è trattato di una semplice verifica formale);
  • le fonti informative utilizzate, sia interne, sia esterne;
  • le modalità ed il momento di raccolta delle informazioni;
  • i soggetti intervistati.

Una materia quindi per specialisti, che spesso anche master e corsi affrontano in modo superficiale, a testimonianza della scarsa competenza e risorse disponibili per svolgere correttamente tale attività.

NOTE

  1. I rischi dell’attività di audit nel percorso di adeguamento al GDPR, su Cybersecurity360.it.
  2. Le sanzioni possono essere di natura economica, non economica (una limitazione provvisoria o definitiva al trattamento, incluso il divieto di trattamento), penali, dalle quali posso derivare un danno reputazionale e possibili interruzioni dei servizi con conseguente danno economico, contenzioso con controparti, danno reputazionale.
  3. Evidenza di una differenza fra quanto si è riscontrato in sede di verifica e quanto ci si attendeva.
  4. Giancarlo Butti, Maria Roberta Perugini – Audit e GDPR – Manuale per le attività di verifica e sorveglianza del titolare e del DPOFrancoAngeli 2019.
  5. Tratto da: G.Butti – Sicurezza Totale 4.0. L’ABC sulla Physical Cyber Security per i DPO e le PMI (e non solo) – ITER 2019.
WHITEPAPER
Come semplificare il sistema di gestione delle identità digitali?
Sicurezza
IAM

@RIPRODUZIONE RISERVATA

Articolo 1 di 3