Per dimostrare la propria accountability e soprattutto mantenerla aggiornata nel tempo, il titolare del trattamente deve mettere in atto un programma di monitoraggio dei propri sistemi di protezione dei dati. Le attività di audit quindi si dimostrano alleate nell’adeguamento alla normativa sulla privacy.
Indice degli argomenti
Il framework normativo
È trascorso ormai più di anno dall’entrata in vigore del GDPR e la parola chiave di questa nuova era per la tutela dei dati personali è senza dubbio il termine Accountability. All’art.5 paragrafo 2 il Regolamento enuncia che il Titolare è il soggetto a cui compete il rispetto dei principi generali di trattamento e deve essere in grado di “comprovarlo” attraverso misure tecniche ed organizzative adeguate (art 24 paragrafo 1). Il concetto di accountability viene poi ulteriormente rafforzato dall’art. 24 paragrafo 2 dove si afferma che tali misure devono essere riesaminate ed aggiornate. È proprio su questo aspetto che vorrei soffermare la mia riflessione.
Come ha correttamente affermato, il Segretario generale del Garante Privacy, Giuseppe Busia, al Privacy Day 2019, al Cnr di Pisa, “…il Gdpr, non prevede un adempimento una tantum, ma richiede una manutenzione continua in un cammino che si fa di giorno in giorno, su questo profilo c’è ancora tanto da recuperare”. A confermalo è anche lo studio presentato dell’eurobarometro (a cura della Commissione Europea, pubblicato a giugno 2019 possiamo inserire il link al documento) dove risulta che l’Italia è al penultimo posto in merito a conoscenza della norma e alle attività svolte dalle autorità di vigilanza. Fra gli elementi maggiormente rilevati come carenti, viene indicata inoltre l’assenza di processi documentati e dimostrabili, una carente gestione delle richieste e dei reclami, assenza dei registri di trattamento dei dati.
È evidente che dobbiamo ancora lavorare tanto per riuscire a colmare il gap esistente tra adempimento formale e adempimento sostanziale. Una lacuna che spesso si verifica nelle aziende, è proprio la mancanza di verifiche, di piani di controlli preventivi. Il rischio va prevenuto, non solo mitigato. Gran parte dei disastri accadono proprio per mancanza di controlli periodici adeguati, e sarebbe quindi possibile evitarli se si adottasse un efficace comportamento “proattivo”. Il primo Garante della Privacy Stefano Rodotà, ha affermato che “i dati personali degli oltre 500 milioni di abitanti dei 28 Paesi dell’Unione Europea nel 2020 avranno un valore commerciale stimato attorno ai 1.000 miliardi di euro”, l’8% del Pil europeo. Una vera miniera d’oro”.
I dati personali non sono uno strumento utilizzabile a piacimento ma rappresentano un “valore” che va custodito e protetto. In tal senso conoscere le criticità legate al trattamento dei dati personali che quotidianamente viene messo in atto da parte di ciascun Titolare è di cruciale importanza in quanto rappresenta un “asset” di competitività sul mercato. A tal proposito vorrei provare a rispondere alla domanda: un titolare può dimostrare la propria Accountability e mantenerla aggiornata nel tempo? Sì, adottando un approccio globale di gestione dei dati personali che preveda un piano di verifiche e monitoraggio del proprio sistema di data protection volto ad individuare preventivamente eventuali carenze e individuare quelle azioni di rimedio utili a garantire nel tempo un adeguato livello di conformità al GDPR.
Che cos’è l’audit
È un processo di valutazione indipendente che si svolge periodicamente sulla base di un’attività di campionamento volto ad ottenere evidenze, relativamente ad un determinato contesto di analisi (l’azienda) e valutarle con obiettività, al fine di stabilire in quale misura i criteri prefissati dell’audit siano stati raggiunti o meno. Il concetto di audit può essere applicato a molte attività, comprese quelle della gestione dei dati, come è previsto dallo stesso GDPR. In tal senso la norma UNI EN ISO 19011- Linee Guida per la conduzione di Audit di Sistema, ci fornisce una guida sull’audit di sistemi di gestione, compresi i principi dell’attività di audit, la gestione dei programmi di audit e la conduzione degli audit di sistemi di gestione, così come una guida per la valutazione delle competenze delle persone coinvolte nel processo di audit.
Tale norma è applicabile a qualsiasi organizzazione che abbia l’esigenza di pianificare e condurre audit interni o esterni di sistemi di gestione o di gestire un programma di audit. È possibile l’applicazione della norma ad altri tipi di audit, a condizione che sia prestata particolare attenzione alle specifiche necessarie competenze. I sistemi di gestione nascono per fronteggiare il rischio che l’organizzazione non raggiunga i propri obiettivi, attraverso un efficace governo dei propri processi e attività; l’audit è lo strumento più importante per valutare se i requisiti vengono applicati in modo coerente e con regolarità nell’ambito dei processi e se il sistema produce i risultati desiderati.
Chi è l’auditor
L’auditor (ovvero il valutatore) è la persona che ha caratteristiche personali dimostrate e la competenza per effettuare un audit, in questo caso, dovrà essere quindi un esperto di data protection sia a livello giuridico che informatico. Colui che svolge il ruolo di auditor, deve essere oggettivo, imparziale e, soprattutto, non deve avere conflitti di ruolo con l’oggetto dell’audit. In pratica, non deve avere responsabilità dirette con l’organizzazione o con il dipartimento/ufficio interessato dall’attività di valutazione.
Una caratteristica molto importante dell’auditor è la spiccata capacità comunicativa, di gestione delle risorse umane, centrata sull’assertività, nonché l’abilità di persuadere grazie alla condivisione più che al mero e burocratico richiamo a prescrizioni e regolamenti. Altrettanto fondamentale è lo spirito di osservazione e la capacità di giungere tempestivamente a conclusioni basate sull’analisi e su ragionamenti logici. Un fattore importante è avere la capacità di emettere giudizi ponderati, nonché agire con discrezione; le informazioni relative all’audit non dovrebbero essere utilizzate impropriamente per vantaggi personali.
Gli obiettivi dell’audit
Così come accade per le altre tipologia di compliance che sia per la tutela della sicurezza nei luoghi di lavoro, per l’ambiente, per la qualità, nel sistema di gestione di data protection, un audit deve avere sempre fissato un obiettivo chiaro e condiviso, che può essere per esempio:
- verificare il grado di conformità alla normativa vigente;
- verificare il grado di conformità alle policy di data protection, ovvero i regolamenti di data protection interni dettati dal Titolare del trattamento, che tutti i dipendenti sono tenuti ad osservare.
- accertare il livello di conformità al GDPR e alle nostre data protection policy aziendali di un fornitore di servizi che implichino la gestione e/o il trattamento di dati, (es. un call center in outsourcing, o semplicemente il consulente del lavoro che elabora le buste paga), al fine di valutare che i requisiti dichiarati e concordati nella fase iniziale di stesura dell’accordo, sia stati rispettati e mantenuti nel tempo;
- accertare l’efficacia di azioni correttive intraprese a seguito di “non conformità” scaturite da un precedente audit di verifica.
La corretta gestione di un’attività di audit prevede la formalizzazione di un piano di audit all’’interno del quale vengono esplicitati preventivamente:
- Gli obiettivi che si intendono raggiungere con l’attività di audit;
- I criteri che verranno adottati per raggiungere gli obiettivi di cui sopra, e quali sono i documenti di riferimento utilizzati; (ad. esempio policy, regolamenti interni, procedure operative ecc.)
- Il campo operativo dell’audit quindi quali unità organizzative saranno coinvolte dalla verifica;
- I giorni e i luoghi in cui verrà effettuato l’audit;
- Il tempo stimato che è necessario per effettuare le verifiche sul posto, (ciò consente di allocare correttamente le risorse interne che dovranno essere coinvolte nell’attività di verifica);
- La lingua da utilizzare nel corso delle attività di audit, nel caso di contesti internazionali;
- La check list di domande (preferibilmente aperte) da utilizzare come supporto operativo che consentano di raggiungere il giusto livello di approfondimento.
Tale piano va condiviso prima di iniziare l’effettiva attività di audit, durante una riunione di apertura per consentire la comprensione delle attività che si andranno a svolgere da parte di tutte le risorse coinvolte.
Il report finale
La conduzione dell’Audit, prevede la raccolta e la verifica delle informazioni attraverso osservazioni dirette del processo, l’esame documentale, le interviste ai referenti del processo/area da auditare. Tutte le evidenze raccolte devono essere documentate e verificabili, basate su un campione delle informazioni disponibili poiché l’audit deve essere svolto su un periodo di tempo limitato. I risultati e l’esito complessivo dell’audit, quindi le conclusioni, devono essere documentate attraverso un audit report. Le risultanze dell’audit, che possono essere classificate in:
- non conformità,
- osservazioni/opportunità di miglioramento,
- commenti/raccomandazioni
devono essere dettagliatamente precisate. Inoltre, il report deve contenere o richiamare le modalità per correggere/colmare le carenze rilevate. I contenuti del rapporto di audit devono essere comunicati attraverso una riunione di chiusura con il management dell’azienda, e condivise con le funzioni/aree/dipartimenti auditati, affinchè possano attivarsi per risolvere le non conformità rilevate con le opportune azioni correttive.
I principi fondamentali dell’audit
Possiamo pertanto concludere nel riepilogare i principi sui cui si deve basare una corretta attività di audit:
- L’integrità;
- L’Imparzialità;
- La Professionalità;
- La Riservatezza;
- L’Indipendenza;
- Un approccio basato sull’evidenza.
Condurre un audit interno può essere un compito complesso, sia per un’impresa di grandi dimensioni, sia per una piccola impresa che non possiede le competenze necessarie. La fiducia nel processo di audit e la capacità di raggiungere gli obiettivi dipende dalle competenze delle persone coinvolte nella pianificazione e conduzione degli audit. Questa attività può essere svolta ad esempio, da un privacy officer interno, o dalla funzione di internal audit, riservando, nei casi in cui sia nominato, al DPO, il compito di contribuire alla definizione del piano di verifiche, oppure per chi non disponesse di tale funzione di controllo interno, può attribuire tale compito direttamente al DPO. Sicuramente la scelta più efficace è quella di individuare un team multidisciplinare, che garantisca competenze di advisory nonché legal e security, ognuno dei quali possa contribuire in modo specifico a seconda dell’ambito da auditare.
L’ampiezza del programma di audit, in termine di numero di attività di verifica da svolgere, nonché le risorse da impiegare, dipendono ovviamente dalla complessità dell’azienda (grande gruppo vs PMI) e dalla rilevanza dei trattamenti svolti, ciò non toglie che adottare un piano di verifiche documentate e preventive del proprio sistema di data protection, abbia un’importanza strategica nel “comprovare” l’Accountability del Titolare, anche difronte alle verifiche ispettive dell’autorità garante nonché garantire la competitività sul mercato attraverso un adeguato e sempre aggiornato, livello di conformità al GDPR.