Ultimi Articoli Pubblicati

Blog

Ispezioni GDPR: come essere preparati


Per trovarsi pronti a rispondere ad eventuali ispezioni è bene fare attenzione su alcuni punti di primaria importanza ed porre in essere procedure interne per verificare l’efficacia delle stesse verso i terzi.


Attività di audit.

Definizione: L’audit è una valutazione indipendente volta a ottenere prove, relativamente a un determinato oggetto, e valutarle con obiettività, al fine di stabilire in quale misura i criteri prefissati siano stati soddisfatti o meno.

Le attività di audit sono fondamentali per l’adeguamento alla normativa privacy tanto che il Segretario generale del Garante Privacy ricorda che:


il GDPR non prevede un adempimento una tantum, ma una manutenzione continua in un cammino che si fa di giorno in giorno

È evidente che esiste una forte differenza tra adempimento formale e adempimento sostanziale. Una problematica riscontrabile nelle aziende è proprio la mancanza di verifiche sistematiche.

Gran parte dei problemi sono frutto di mancati controlli periodici, che possono invece essere attuati mediante normali audit.

Come impostare l’audit

L’audit è lo strumento più importante per valutare se i requisiti vengono applicati in modo coerente e con regolarità nell’ambito dei processi e se il sistema produce i risultati desiderati. I principi sui cui si deve basare una corretta attività di audit sono:

  • Integrità
  • Imparzialità
  • Professionalità
  • Riservatezza
  • Indipendenza
  • Approccio basato sull’evidenza.

La tipologia e la dimensione del programma di audit, in termine di numero di attività di verifica da svolgere, nonché le risorse da impiegare, dipendono ovviamente dalla complessità dell’azienda e dalla rilevanza dei trattamenti svolti.


L’obiettivo dell’audit deve essere chiaro e focalizzato su specifici argomenti, come ad esempio il grado di conformità con la normativa e con le policy di data protection e l’efficacia delle azioni correttive. Le attività partono da un piano contenente obiettivi, criteri, metodologia, soggetti e settori aziendali coinvolti, presentato e condiviso prima con tutti per ricevere la massima collaborazione.I risultati e l’esito devono essere documentati attraverso un report e classificati come:

  • non conformità,
  • osservazioni/opportunità di miglioramento,
  • commenti/raccomandazioni.

Inoltre, il report deve contenere o richiamare le modalità per correggere/colmare le carenze rilevate.


Come prepararsi alle ispezioni

Di seguito ipunti di primaria importanza sui quali porre il focus per meglio predisporsi all’audit o alle ispezioni

  • Avere le informative in regola per il principio di trasparenza l’informativa deve essere al centro di tutto il sistema privacy deve esserci, essere chiara, sintetica, avere i contenuti previsti dalla legge, essere facilmente consultabile, on site e da remoto, non deve essere generica e deve essere omnicomprensiva dei trattamenti effettuati dall’azienda.
  • Il consenso al trattamento deve essere richiesto, raccolto in modo libero da parte dell’interessato, che sia esplicito, riferito ai trattamenti previsti e nel quale sia ben indicato il diritto di revoca.
  • Il registro dei trattamenti deve essere tenuto costantemente aggiornato sia per una eventuale verifica da parte degli organi di controllo sia per la governance e l’accountability interna. Il registro deve essere aggiornato, chiaro, aderente alla realtà attuale dell’azienda, da questo devono potersi evincere i flussi dei dati, le responsabilità e le azioni di security adottate per la prevenzione dei rischi e quelle da adottare in caso di incidente.
  • Avere una gestione chiara dei data breach che preveda tutto l’iter comunicativo e le azioni da adottare.
  • Avere un piano formativo adeguato per tutte le persone coinvolte nei vari trattamenti, con la certezza delle verifiche in modo che si sia accertata la reale preparazione del personale addetto.
  • Effettuare una verifica di adeguatezza delle misure di sicurezza adottate, che siano adottate sulla base di un’analisi dei rischi concreta ed attuale.
  • Se è prevista la presenza del DPO questi dovrà essere molto preparato sia in termini di normativa sia in termini di procedure aziendali, sarà lui infatti ad essere convocato in prima battuta dal garante per dare le spiegazioni del caso. Purtroppo nella fretta dell’adeguamento non si è data particolare attenzione a questa figura che in alcuni casi potrebbe non essere all’altezza del compito assegnato.
  • Verificare che, se si rende necessaria in funzione della normativa, sia stata fatta e sia coerente una valutazione di impatto.
5