Abbiamo ampliamente superato il primo anno dall’entrata in vigore del GDPR 679/2016 – Privacy e dallo scorso maggio sono iniziati i controlli da parte del Garante, inizialmente in settori specifici e limitati ma a breve sarà incrementata l’attività ispettiva che darà concretezza all’applicazione del regolamento europeo. In molti altri paesi europei l’attività ispettiva è partita in anticipo rispetto all’Italia.
In ottica di predisporsi nel modo più opportuno ad eventuali ispezioni è bene porre il focus su alcuni punti di primaria importanza ed effettuare audit interni per verificare lo stato del proprio adeguamento alla normativa, per dimostrare la propria accountability (traducibile impropriamente con il termine responsabilità anche se questo è limitativo rispetto alle intenzione del legislatore) e soprattutto mantenerla aggiornata nel tempo, il titolare del trattamento deve mettere in atto un programma di monitoraggio dei propri sistemi di protezione dei dati. Le attività di audit sono fondamentali per l’adeguamento alla normativa sulla privacy.
Il Segretario generale del Garante Privacy, Giuseppe Busia, al Privacy Day 2019, al Cnr di Pisa, ha affermato che “…il Gdpr, non prevede un adempimento una tantum, ma richiede una manutenzione continua in un cammino che si fa di giorno in giorno, su questo profilo c’è ancora tanto da recuperare”. A confermalo è anche lo studio presentato dell’eurobarometro pubblicato a giugno 2019 dove risulta che l’Italia è al penultimo posto in merito a conoscenza della norma e alle attività svolte dalle autorità di vigilanza.
È evidente che esiste una forte differenza tra adempimento formale e adempimento sostanziale. Una problematica riscontrabile nelle aziende, è proprio la mancanza di verifiche, di piani di controlli preventivi. Il rischio va prevenuto, non solo mitigato. Gran parte dei problemi ci sono proprio per mancanza di controlli periodici adeguati.
I controlli periodici possono essere attuati anche mediante attività di audit ossia mediante un processo di valutazione indipendente che si svolge periodicamente sulla base di un’attività di campionamento volto ad ottenere evidenze, relativamente ad un determinato contesto di analisi (l’azienda) e valutarle con obiettività, al fine di stabilire in quale misura i criteri prefissati dell’audit siano stati raggiunti o meno.
L’audit è lo strumento più importante per valutare se i requisiti vengono applicati in modo coerente e con regolarità nell’ambito dei processi e se il sistema produce i risultati desiderati.
I principi sui cui si deve basare una corretta attività di audit sono:
- L’integrità;
- L’Imparzialità;
- La Professionalità;
- La Riservatezza;
- L’Indipendenza;
- Un approccio basato sull’evidenza.
La tipologia e la dimensione del programma di audit, in termine di numero di attività di verifica da svolgere, nonché le risorse da impiegare, dipendono ovviamente dalla complessità dell’azienda e dalla rilevanza dei trattamenti svolti, comunque adottare un piano di verifiche documentate e preventive del proprio sistema di data protection ha un’importanza fondamentale nel comprovare l’Accountability del Titolare, anche difronte alle verifiche ispettive dell’autorità garante nonché garantire la competitività sul mercato attraverso un adeguato e sempre aggiornato, livello di conformità al GDPR.
L’obiettivo dell’audit deve essere chiaro e può essere focalizzato su specifici argomenti come ad esempio verificare il grado di conformità con la normativa, il grado di conformità alle policy di data protection, accertare l’’efficacia delle azioni correttive.
Le attività di partono da un piano di audit che deve contenere, tra l’altro, gli obiettivi, i criteri adottati, le domande da porre agli intervistati, i soggetti ed i settori aziendali coinvolti. Il piano va presentato e condiviso prima della partenza dell’audit stesso per presentarlo a tutti gli attori coinvolti, sensibilizzarli, evidenziarne l’importanza e ricevere la massima collaborazione.
I risultati e l’esito dell’audit devono essere documentate attraverso un audit report e classificate come:
- non conformità,
- osservazioni/opportunità di miglioramento,
- commenti/raccomandazioni.
Inoltre, il report deve contenere o richiamare le modalità per correggere/colmare le carenze rilevate.
I punti di primaria importanza sui quali porre il focus per meglio predisporsi all’audit o alle ispezioni sono:
- Avere le informative in regola per il principio di trasparenza l’informativa deve essere al centro di tutto il sistema privacy deve esserci, essere chiara, sintetica, avere i contenuti previsti dalla legge, essere facilmente consultabile, on site e da remoto, non deve essere generica e deve essere omnicomprensiva dei trattamenti effettuati dall’azienda.
- Il consenso al trattamento deve essere richiesto, raccolto in modo libero da parte dell’interessato, che sia esplicito, riferito ai trattamenti previsti e nel quale sia ben indicato il diritto di revoca.
- Il registro dei trattamenti deve essere tenuto costantemente aggiornato sia per una eventuale verifica da parte degli organi di controllo sia per la governance e l’accountability interna. Il registro deve essere aggiornato, chiaro, aderente alla realtà attuale dell’azienda, da questo devono potersi evincere i flussi dei dati, le responsabilità e le azioni di security adottate per la prevenzione dei rischi e quelle da adottare in caso di incidente.
- Avere una gestione chiara dei data breach che preveda tutto l’iter comunicativo e le azioni da adottare.
- Avere un piano formativo adeguato per tutte le persone coinvolte nei vari trattamenti, con la certezza delle verifiche in modo che si sia accertata la reale preparazione del personale addetto.
- Effettuare una verifica di adeguatezza delle misure di sicurezza adottate, che siano adottate sulla base di un’analisi dei rischi concreta ed attuale.
- Se è prevista la presenza del DPO questi dovrà essere molto preparato sia in termini di normativa sia in termini di procedure aziendali, sarà lui infatti ad essere convocato in prima battuta dal garante per dare le spiegazioni del caso. Purtroppo nella fretta dell’adeguamento non si è data particolare attenzione a questa figura che in alcuni casi potrebbe non essere all’altezza del compito assegnato.
- Verificare che, se si rende necessaria in funzione della normativa, sia stata fatta e sia coerente una valutazione di impatto.
Gli spunti sopra indicati possono essere un buon punto di partenza ma non sostituiscono una analisi ben fatta della situazione aziendale nel suo complesso che metta al sicuro da eventuali rischi.
di Cristiano Montesi