Conduzione degli audit DPO: uno strumento operativo - Cyber Security 360

ADEMPIMENTI PRIVACY

Conduzione degli audit DPO: uno strumento operativo

Dotarsi di uno strumento operativo per la conduzione degli audit DPO è utile nell’ottica di un miglioramento continuo del sistema di gestione privacy. Ecco come approntarlo e usarlo al meglio

30 Ott 2020
S
Claudio Solera

Privacy Specialist - Data Protection Officer

Il miglioramento continuo di un sistema di gestione privacy si deve sviluppare attraverso l’analisi dei risultati qualitativi e quantitativi risultanti dall’attività di audit svolta dal DPO (Data Protection Officer, Responsabile della Protezione dei Dati) che, lo ricordiamo, ai sensi dell’art. 39 del GDPR svolge i seguenti compiti:

  1. informare e fornire consulenza in materia di protezione dei dati personali;
  2. sorvegliare l’osservanza del GDPR;
  3. fornire, se richiesto, un parere in merito alla DPIA (valutazione d’impatto sulla protezione dei dati personali);
  4. cooperare con l’autorità di controllo;
  5. fungere da punto di contatto per quest’ultima.

È vero, però, che le situazioni di emergenza come quella attuale caratterizzata dalla diffusione della COVID-19 ci costringono sempre più a svolgere audit in remoto e conseguentemente c’è la necessità di avere a disposizione degli strumenti “smart”.

Gestione di un programma di audit DPO

Un programma di audit DPO può essere svolto in correlazione con quanto definito dallo standard ISO 9001:2015 attraverso l’applicazione del Ciclo di Deming ( PDCA) e quanto definito nel Capitolo 5 della Norma UNI EN ISO 19011:2018 (Linee guida per la conduzione degli Audit):

PLAN (pianificare):

  • Punto 5.2: definizione degli obiettivi del programma di audit
  • Punto 5.3: determinazione e valutazione dei rischi e delle opportunità del programma di audit
  • Punto 5.4: definizione del programma di audit.

DO (fare):

  • Punto 5.5: attuazione del programma di audit.

CHECK (verificare):

  • Punto 5.6: monitoraggio del programma di audit

ACT (agire)

  • Punto 5.7: riesame e miglioramento del programma di audit

Strumento operativo per la conduzione di audit DPO

Ogni DPO usa strumenti diversi per la conduzione degli audit, ma tutti devono rispondere all’obiettivo di verificare la conformità al GDPR.

WHITEPAPER
Protezione dei dati e backup: come valutare le diverse soluzioni prima dell’acquisto
Backup
Sicurezza dei dati

Esistono ottimi software che gestiscono la conduzione degli audit, ma per coloro che non sentono la necessità di acquistarli è possibile predisporre uno strumento con Excel che permette di rilevare le non conformità e di proporre raccomandazioni/osservazioni.

Proviamo ad illustrare come è costruito e come lavora. Il file è costituito da diversi fogli collegati con il foglio iniziale che è il cruscotto di riepilogo generale delle evidenze dell’audit.

In primis, occorre definire le aree di controllo:

  1. Verifica documentale
  2. Misure per garantire l’integrità e la disponibilità dei dati
  3. Misure per garantire la protezione delle aree e dei locali
  4. Criteri e modalità per il ripristino della disponibilità dei dati
  5. Criteri in caso di affidamento dei dati all’esterno della struttura
  6. Interventi formativi e organizzativi
  7. Videosorveglianza

Quanto indicato non è un elenco esaustivo di tutti i controlli che si possono eseguire, ogni realtà ha i suoi processi e conseguenti criticità.

Cruscotto di riepilogo e check list per area di verifica

Per ogni area di controllo sono presenti il foglio di riepilogo generale dell’area e la check-list corrispondente.

Ogni check-list deve riportare gli obiettivi del controllo in termini di verifica dell’esistenza dei documenti e delle procedure. Ad ogni punto della check-list deve corrispondere un punteggio relativo alla conformità e una codifica del problema.

Le domande/controlli indicati in ogni check-list sono valutati secondo i seguenti punteggi:

  • Valutazione Conformità:
  1. NA = non applicabile
  2. 0 = non conforme
  3. 1 = mediamente conforme
  4. 2 = buono, da migliorare
  5. 3 = conforme
  • Codifica problema:
  1. 0 = nessun problema
  2. 1 = difetto documentale
  3. 2 = non applicato
  4. 3 = non documentato

Nell’immagine sottostante è riportato un esempio di check-list.

Esempio di check-list utilizzabile nella conduzione di un audit DPO.

Nella check-list si può evidenziare una non conformità maggiore, una non conformità minore o una raccomandazione/osservazione. Inoltre, è possibile descrivere le evidenze oggettive rilevate e le necessarie azioni correttive.

I risultati dei controlli effettuati sono riportati sul Cruscotto di riepilogo dell’area analizzata, come visibile nell’immagine sottostante.

Il cruscotto riporta i risultati totali riguardanti la conformità, la valutazione delle problematiche e il gap rispetto al 100% di conformità.

Cruscotto di riepilogo generale

Nel cruscotto di riepilogo generale si evidenziano i gap per ogni area analizzata. Si è considerato come accettabile una conformità all’80% (celle verdi). Nel caso proposto l’incidenza della completa non applicazione di quanto richiesto dal GDPR sulla videosorveglianza ha un incidenza elevata sul totale della conformità.

Dall’analisi quantitativa si possono ricavare problematiche organizzative legate a mancanza di procedure adeguate o non applicate.

Rapporto di un audit

La finalità del rapporto di un audit DPO è documentare il risultato dell’attività e deve fare riferimento a:

  1. gli obiettivi dell’audit;
  2. il campo di applicazione dell’audit, in particolare l’identificazione delle unità organizzative e dei processi sottoposti ad audit;
  3. l’identificazione del committente dell’audit;
  4. l’identificazione del gruppo di audit e dei partecipanti all’audit della organizzazione oggetto dell’audit;
  5. le date e i siti dove sono state condotte le attività dell’audit;
  6. i criteri dell’audit;
  7. le risultanze dell’audit e relative evidenze;
  8. le conclusioni dell’audit;
  9. una dichiarazione sul grado in cui i criteri di audit sono stati soddisfatti.

Con lo strumento illustrato, è possibile inserire ogni singolo foglio con le evidenze emerse per ogni area e chiudere il rapporto con una tabella sinottica relativa alle non conformità maggiori e/o minori e le raccomandazioni per il miglioramento del sistema.

In ultimo, è necessario descrivere quanto indicato nella tabella sinottica e proporre i tempi e il contenuto delle necessarie azioni correttive.

@RIPRODUZIONE RISERVATA

Articolo 1 di 3