Audit DPO: l’importanza del Remediation Plan
19 Febbraio 2021 in DPO as a Service
Come si conclude un controllo?
In altre occasioni abbiamo affrontato il tema dei controlli privacy in capo al DPO, che costituiscono una delle funzioni essenziali di questa figura, e definito come devono essere pianificati e condotti. Oggi ci soffermiamo su un aspetto che assume forse una rilevanza maggiore per i controlli condotti dal DPO: il Remediation Plan ed il suo successivo monitoraggio.
Posto che un audit si conclude necessariamente con un Audit Report, questo conterrà almeno tre distinte componenti:
• un elenco delle non-conformità rilevate (con indicazione di gravità);
• le misure da adottare per consentire il rientro nella conformità (con segnalazione delle priorità);
• l’assegnazione delle azioni da intraprendere ad un owner e la loro pianificazione.
Questo ultimo elemento costituisce il Remediation Plan e rappresenta la base per il successivo monitoraggio dell’effettiva adozione delle misure suggerite e della loro efficacia.
monitoraggio dell’effettiva adozione delle misure suggerite e della loro efficacia.
Cosa succede dopo?
Normalmente gli Audit Report, prima della consegna finale alla funzione che lo ha commissionato (il Titolare, nel caso dei controlli privacy effettuati dal DPO) vengono presentati alla funzione sottoposta a controllo per raccoglierne eventuali osservazioni, ma soprattutto per verificare la fattibilità delle misure da adottare e concordare la loro corretta collocazione temporale.
Nel caso in cui l’adozione delle misure richieda investimenti consistenti, sarà opportuno confermare la loro compatibilità con i budget disponibili oppure, in caso contrario, prendere atto della necessità di reperire budget adeguati, eventualmente in tempi successivi. Così come, per misure che comportino interventi tecnologici rilevanti, sarà opportuno raccordare le azioni richieste con eventuali piani di aggiornamento previsti o in corso ed evitare così di mettere in cantiere interventi onerosi su piattaforme o applicazioni in via di dismissione o sostituzione (o anche solo in corso di migrazione in cloud, ecc.). Un Remediation Plan che non tenesse conto di tali vincoli risulterebbe corretto solo in astratto, quanto impraticabile nella realtà.
L’importanza del Follow-up
Purtroppo i piani di mitigazione hanno una naturale tendenza a rinchiudersi nel più profondo dei cassetti per sottrarsi all’attenzione dell’owner alla responsabilità del quale sono stati assegnati. Questa circostanza può rappresentare un problema in generale, ma in modo particolare per i DPO costituisce un’eventualità da tenere attentamente monitorata. Gli audit non devono mai essere considerati come fine a se stessi: il loro obiettivo non può essere la pura fotografia della situazione as-is, ma condurre al superamento delle non-conformità rilevate.
Nel caso dei controlli sulla Protezione di Dati Personali, la non-conformità può condurre a violare i diritti degli Interessati e ad una possibile illegittimità del trattamento, con rischio di sanzioni da parte dell’Autorità Garante (fra le quali non va mai sottovalutato il blocco del trattamento dei dati trattati illegittimamente). Ecco perché è fondamentale la schedulazione di follow-up e la loro puntuale esecuzione.
Controlli e accountability
In conclusione, è senz’altro indispensabile per il DPO sia proporre al Titolare un piano di audit (basato sull’individuazione dei trattamenti più rischiosi) che lo svolgimento regolare dei controlli pianificati. In termini di accountability tuttavia sarà essenziale anche poter dimostrare che il Titolare abbia poi preso in adeguata considerazione il piano di adozione delle misure previste.
Per il DPO costituisce elemento qualificante nello svolgimento del proprio mandato il monitoraggio sull’effettiva adozione delle misure indicate nel Remediation Plan ed il rispetto dei tempi previsti dal piano. Sarà inoltre opportuno verificare anche l’efficacia dell’adozione delle misure, che potrebbero risultare insufficienti o non produrre i risultati attesi, ad esempio a causa di resistenze al cambiamento da parte di alcuni reparti o soggetti chiave.
Lo spirito dell’azione del DPO non deve infatti mai limitarsi alla spunta di una checklist (“Formazione? Fatta. Analisi del Rischio? Fatta…”), ma deve invece contribuire a generare un effettivo miglioramento del livello di tutela dei diritti degli interessati, assicurandosi che le azioni intraprese sul percorso della compliance si traducano in consapevolezza e comportamenti virtuosi.