Privacy? E' questione di Audit | Delaini & Partners

X

x

Roberto Giovanni Loche

DPO & Cyber Consultant
rloche@rlsolutions.it
Mobile 331 2917 785


X
x
x
x

Contributi di Roberto Loche
su Privacy e GDPR
X
XCovid vs GDPR: c'è conflitto?
XVademecum per la fase 2
XGDPR: era tutto uno scherzo?
XAdeguamento al GDPR? in 4 passi
XCe la fai con il GDPR?
xSicurezza fisica e logica
XIl GDPR cerca tanti DPO
X
x
x
x
x

rloche@rlsolutions.it
www.rlsolutions.it
x
X
Audit nei sistemi
di gestione della Privacy

X


L’ audit è un processo che comporta la definizione di obiettivi e procedure necessarie, individuando criticità e soluzioni, per arrivare in ultimo all'adempimento di obblighi normativi o ad ottenere o mantenere una certificazione dei sistemi di gestione nel momento in cui questi siano stati implementati in azienda.

L’attività di audit è fondamentale al fine di individuare eventuali non conformità e suggerire proposte di miglioramento.

Perché è importante l’audit nel GDPR?
La corretta e ricorrente esecuzione di controlli di conformità costituisce:
  • uno strumento di tutela del titolare del trattamento: verificando il livello di conformità alla normativa è possibile individuare tempestivamente e correggere eventuali anomalie e criticità nella propria attività di trattamento dati, evitando sanzioni o richieste di risarcimenti di danni da parte di terzi.
  • uno strumento di accountability a disposizione e supporto del titolare del trattamento, per dimostrare la conformità al GDPR. La verifica contribuisce a documentare il percorso di adeguamento condotto dal Titolare del Trattamento tenendo traccia di tutte le evidenze di tale percorso; la mancanza di evidenze implica infatti di per sé una non conformità.
  • uno strumento del Data Protection Officer per esercitare la sua funzione di sorveglianza e controllo dell’operato della struttura del titolare.
Occorre tener presente che con l’avvento del GDPR:
  • cambia il perimetro di tutela: si passa dalla tutela dei dati personali in senso stretto alla tutela dei diritti e libertà delle persone fisiche
  • molti adempimenti che in precedenza erano impliciti ora devono essere formalizzati e documentati e la loro assenza è sanzionata;
  • vengono introdotti nuovi obblighi, come quello per il titolare di essere in grado di dimostrare, in ogni momento, la propria conformità o quelli derivanti dall’osservanza del principio di privacy by design e privacy by default;
  • la responsabilizzazione del titolare del trattamento fa sì che molte azioni da compiere in adempimento del GDPR non siano predefinite con regole codificate (ad esempio, non sono più previste le misure minime di sicurezza).
Le verifiche in un audit privacy
Le verifiche in ambito privacy sono caratterizzate dal dovere di controllare ambiti sia formalizzati vale a dire per i quali la normativa indica nel dettaglio i requisiti attesi (es: informative, designazioni, basi giuridiche, etc), sia non formalizzati, cioè ove la responsabilità della relativa concreta articolazione è in carico allo stesso Titolare (es. misure di sicurezza, modalità con cui sia stata effettuata l’analisi dei rischi, l’eventuale DPIA, etc)
Quindi, a titolo di esempio, le verifiche possono avere ad oggetto:
- valutazione degli adempimenti effettuati dal Titolare del Trattamento
- verifica degli adempimenti contrattuali dei Responsabili Esterni
- valutazione di correttezza e completezza di informative, registri dei trattamenti, privacy policy, cookie policy
- valutazione delle misure di sicurezza (informatiche ed organizzative)
- analisi degli esiti di un vulnerability assessment e di un penetration test
- valutazione delle competenze e dell’operato degli amministratori di sistema
- valutazione del livello di formazione delle persone che trattano dati personali
- valutazione dei processi di gestione di esercizio dei diritti dell’interessato e dell’efficacia nei casi trattati
- controllo degli adempimenti in materia di videosorveglianza.

Quando svolgere un audit privacy?
E’ buona norma pianificare annualmente l’attività di audit del Sistema di Gestione della Privacy Aziendale, in modo da poterne verificare la compliance al GDPR, ed attuare eventuali adeguamenti a fronte di cambiamenti organizzativi o normativi.

È anche importante in termini di accountability, perché il possesso di un piano di audit e le risultanze di tali audit costituiranno una base per qualsiasi argomentazione che il Titolare vorrà adoperare in caso di richieste da parte dell’Autorità Garante o degli interessati
Inoltre bisogna considerare che l’emergenza epidemiologica, che purtroppo stiamo ancora vivendo ha avuto degli impatti importanti sulla Gestione dei Dati Personali.


X
Campagna
Audit GDPR & Ripartenza

Il Servizio Professionale AUDIT GDPR di RL SOLUTIONS è fornito con un significativo sconto sui prezzi di listino, riservato esclusivamente ai lettori di Breaking News che aderiscono entro Settembre 2020.
Per Informazioni inviare una email a info@rlsolutions.it oppure chiamare direttamente il +39 331 291 7785
X