x
x
x
x
x
Lx
x
x
x
x
x
x
x
x |  | Audit Privacy: perchè è importante
L’ audit è un processo che comporta la definizione di obiettivi e procedure necessarie, individuando criticità e soluzioni, per arrivare in ultimo all'adempimento di obblighi normativi e per ottenere o mantenere una certificazione dei sistemi di gestione nel momento in cui questi siano stati implementati in azienda.
L’attività di Audit Privacy è fondamentale al fine di individuare eventuali non conformità, eventuali carenze nella protezione dei dati personali e suggerire proposte di miglioramento.
I vantaggi
La corretta e ricorrente esecuzione di controlli di conformità costituisce:
- uno strumento di tutela del titolare del trattamento: verificando il livello di conformità alla normativa è possibile individuare tempestivamente e correggere eventuali anomalie e criticità nella propria attività di trattamento dati, evitando sanzioni o richieste di risarcimenti di danni da parte di terzi.
- uno strumento di accountability a disposizione e supporto del titolare del trattamento, per dimostrare la conformità al GDPR.
- La verifica contribuisce a documentare il percorso di adeguamento condotto dal Titolare del Trattamento tenendo traccia di tutte le evidenze di tale percorso; la mancanza di evidenze implica infatti di per sé una non conformità.
- uno strumento del Data Protection Officer per esercitare la sua funzione di sorveglianza e controllo dell’operato della struttura del titolare.
Occorre tener presente che con l’avvento del GDPR:
- cambia il perimetro di tutela: si passa dalla tutela dei dati personali in senso stretto alla tutela dei diritti e libertà delle persone fisiche
- molti adempimenti che in precedenza erano impliciti ora devono essere formalizzati e documentati e la loro assenza è sanzionata;
- vengono introdotti nuovi obblighi, come quello per il titolare di essere in grado di dimostrare, in ogni momento, la propria conformità o quelli derivanti dall’osservanza del principio di privacy by design e privacy by default;
- la responsabilizzazione del titolare del trattamento fa sì che molte azioni da compiere in adempimento del GDPR non siano predefinite con regole codificate (ad esempio, non sono più previste le misure minime di sicurezza).
Le verifiche
Le verifiche in ambito privacy sono caratterizzate dal dovere di controllare ambiti sia formalizzati vale a dire per i quali la normativa indica nel dettaglio i requisiti attesi (es: informative, designazioni, basi giuridiche, etc), sia non formalizzati, cioè ove la responsabilità della relativa concreta articolazione è in carico allo stesso Titolare (es. misure di sicurezza, modalità con cui sia stata effettuata l’analisi dei rischi, l’eventuale DPIA, etc)
Quindi, a titolo di esempio, le verifiche possono avere ad oggetto:
- valutazione degli adempimenti effettuati dal Titolare del Trattamento
- verifica degli adempimenti contrattuali dei Responsabili Esterni
- valutazione di correttezza e completezza di informative, registri dei trattamenti, privacy policy, cookie policy
- valutazione delle procedure organizzative a supporto della misure di sicurezza
- analisi degli esiti di un vulnerability assessment e di un penetration test
- valutazione delle competenze e dell’operato degli amministratori di sistema
- valutazione del livello di formazione delle persone che trattano dati personali
- valutazione dei processi di gestione di esercizio dei diritti dell’interessato e dell’efficacia nei casi trattati
- controllo degli adempimenti in materia di videosorveglianza
Particolare attenzione và posta nella verifica delle misure di sicurezza informatiche messe in atto, delle eventuali vulnerabilità dei sistemi, e del livello di sensibilizzazione del personale relativamente ai Cyber Risks
Quando svolgere un audit privacy?
E’ buona norma pianificare annualmente l’attività di audit del Sistema di Gestione della Privacy Aziendale, in modo da poterne verificare la compliance al GDPR, ed attuare eventuali adeguamenti a fronte di cambiamenti organizzativi o normativi.
È anche importante in termini di accountability, perché il possesso di un piano di audit e le risultanze di tali audit costituiranno una base per qualsiasi argomentazione che il Titolare vorrà adoperare in caso di richieste da parte dell’Autorità Garante o degli interessati
Per andare sul concreto: Audit GDPR 2023
Il Servizio Professionale AUDIT GDPR di RL SOLUTIONS, per i Clienti che aderiscono entro Marzo 2023, è fornito con condizioni di particolare favore per i lettori di Breaking News.
Per Informazioni inviare una email a info@rlsolutions.it oppure chiamare direttamente il +39 331 291 7785 |