Audit privacy: le 6 regole da seguire
9 Novembre 2020 in DPO as a Service
Dovrebbe ormai essere nota l’importanza dell’audit per il DPO (interno o esterno che sia), anche se talvolta è presente il rischio di sfruttare il suo ruolo più in ottica di consulenza che di controllo.
Riteniamo in ogni caso utile ricordare il percorso e le regole principali da seguire per ottimizzare questa attività.
1) Analizzare il modello organizzativo dell’azienda. Il DPO dovrebbe seguire questa regola, ancor prima di definire il piano di audit. In settori particolarmente normati, come ad esempio quello bancario/finanziario la struttura di controllo, indipendentemente dalla privacy, è definita secondo le indicazioni della Banca d’Italia. Se dunque è presente una struttura di audit sulle diverse materie, compresa la privacy, il DPO si limiterà a prendere visione di quanto già fatto, chiedere eventualmente verifiche e approfondimenti, verificare a che punto sono gli eventuali remediation plan o suggerire un suo remediation plan, sulla base di carenze rilevate dalla documentazione
2) Fare il piano di audit preferibilmente triennale. In generale il DPO dovrà proporre e concordare con l’azienda un piano audit, meglio se triennale, tempo minimo per effettuare i diversi controlli e alla fine poter tornare su settori già controllati o ampliare lo scope.
Nella definizione del piano di audit e nelle fasi successive sarà vincente la disponibilità di un team interdisciplinare, in grado di mettere in campo diverse professionalità, come quelle di tipo legale, organizzativo e di sicurezza.
3) Formulare un piano coerente con il tipo di azienda e i trattamenti rilevanti.
Il DPO dovrebbe predisporre controlli trasversali e verticali, sui reparti, diversi per ogni settore. Questi ultimi si concentreranno, ad esempio per una GDO, su Marketing (carte fedeltà, profilazioni, consensi…); per le manifatturiere B2B, con tanti stabilimenti, dove sono particolarmente rilevati i dati dei dipendenti e dei collaboratori, ci si concentrerà invece su HR.
L’audit trasversale dovrebbe dare la priorità ad applicazioni e procedure rivolte all’esterno, come la gestione dei diritti degli interessati e il data breach, che espongono maggiormente il comportamento del titolare in caso di ispezioni.
Il DPO dovrebbe prevedere anche audit sui fornitori di servizi, particolarmente consigliabili nella fase attuale durante la quale le visite in presenza sono ridotte. La nomina dei fornitori a responsabili esterni del trattamento prevede infatti di definire le misure di sicurezza e, per il titolare, l’obbligo di verifica che siano applicate. Il DPO può confermarlo attraverso un’ispezione da remoto con la richiesta della documentazione e delle evidenze.
4) Predisporre una check list. Per ogni controllo il DPO dovrebbe definire una lista di controlli condivisa con l’azienda e coerente con il tipo di audit. Ad esempio in ambito HR si dovrebbero effettuare le verifiche all’interno dei diversi processi come selezione, formazione, procedure di assunzione, gestione e amministrazione, valutazione delle prestazioni e sviluppo professionale… In caso di audit trasversale si potrà costruire la check list a partire dagli articoli del GDPR, andando a verificare non solo la presenza e la qualità delle procedure e della documentazione prevista, ma anche il grado di consapevolezza che l’accompagna.
5) Raccogliere evidenze ed esempi durante l’audit. Questi, puntualmente riferiti ai diversi punti della check list, andranno allegati al report finale. Nel caso di verifica della gestione dei fornitori, ad esempio, il DPO dovrà estrarre la lista di quelli che trattano dati personali, selezionare esempi significativi, verificare i contratti e le nomine a Responsabile.
6) Audit report, remediation plan e follow-up. Forse è scontata ma va ribadita l’importanza del report, individuando correttamente il destinatario. Sulla base dei modelli organizzativi delle diverse aziende può essere, l’internal audit officer, il risk manager, il comitato privacy, il Cda… È importante che il report arrivi anche alle funzioni sottoposte ad audit. Altrettando importante è il remediation plan che suggerisca le misure da adottare per mitigare la non conformità, ne indichi le priorità e una data entro la quale devono essere adottate. Fondamentale infine il follow-up, che deve essere previsto fin dall’inizio e puntualmente eseguito. Un audit report e un remediation plan chiusi in un cassetto, senza una verifica della loro attuazione, sono inutili.
Paolo Calvi – Data Protection Officer presso P4I – Partners4Innovation