Il Regolamento UE 679/2016 non impone specificatamente di effettuare a intervalli regolari degli audit sul trattamento dei dati, ma per chi svolge un ruolo aziendale importante in qualità di DPO deve comunque considerare la possibilità, nel proprio operato, di effettuare attività di audit all’interno delle realtà in cui opera che abbiano come focus principale la privacy e la protezione dei dati.
Anche le norme sulla sicurezza dei sistemi di gestione delle informazioni, come la serie EN27000 prevedono lo svolgimento di attività di audit indirizzate non specificatamente al rispetto del Regolamento bensì al rispetto dei principi generali di riservatezza, integrità e disponibilità dei dati.
Audit, i soggetti coinvolti
Gli audit interni possono essere avviati su iniziativa del titolare del trattamento oppure su richiesta specifica dell’Autorità Garante Nazionale. I soggetti coinvolti nell’audit sono il soggetto revisore a cui il responsabile del trattamento ha affidato lo svolgimento di questa attività, e il responsabile della protezione dei dati. Di seguito ricordiamo gli articoli che in modo molto chiaro esprimono la centralità di queste figure nella costruzione del processo di audit. All’interno del GDPR troviamo nell’articolo 28 i compiti del responsabile del trattamento e nell’articolo 39 quelli del responsabile della protezione dei dati. Ma chi effettua l’audit all’interno di una specifica realtà?
Attualmente non esistono figure specifiche, ma svolgere l’audit con il supporto di un DPO che ha una conoscenza approfondita delle attività di trattamento può essere un vantaggio sicuro nello svolgimento delle attività degli auditor, che in tanti paesi europei possono essere inviati direttamente dall’autorità garante e che in Italia possono essere impersonati dagli agenti della Guardia di Finanza durante le fasi di controllo sulla compliance aziendale alla normativa.
Come impostare un audit
È bene ricordare sempre che l’auditor svolge un ruolo costruttivo nei confronti dell’azienda e non conflittuale e che solo la piena collaborazione di tutti gli attori coinvolti può aumentare in modo significativo il livello di protezione dei dati coinvolti andando a commisurare adeguatamente le minacce e le possibili contromisure attuate.
Naturalmente ogni contesto può avere una specifica attività di audit in base a una miriade di variabili in gioco: dimensioni aziendali, settore merceologico, tipologia di dati trattati e tanto altro ancora ma sostanzialmente ogni percorso di audit non può prescindere dai punti che di seguito andiamo ad elencare e successivamente a sviluppare:
- definizione degli obiettivi di audit;
- analisi del rischio;
- verifica delle politiche e delle procedure;
- attuazione delle politiche e delle procedure;
- verifica delle idoneità dei controlli in essere;
- eventuali falle del trattamento;
- fase propositiva;
- redazione e pubblicazione del rapporto.
Definizione degli obiettivi di audit: cosa vogliamo sapere dall’attività di audit e soprattutto quali contesti di trattamento vogliamo analizzare? È possibile analizzare temi generici in relazione alla protezione dei dati oppure concentrarsi su aree specifiche che per tipologia o natura dei dati trattati siano degne di maggiore attenzione ed analisi?
Analisi del rischio: nel Regolamento Europeo GDPR, l’analisi del rischio privacy ha un ruolo fondamentale: diventa lo strumento atto a dimostrare l’adeguatezza delle misure implementate a tutela dei dati trattati.
Il GDPR, non indicando puntualmente le linee guida per proteggere le informazioni, chiede di essere in grado di dimostrare di averle protette in modo adeguato così come riportato tra i principi del GDPR all’art.5, comma 1 lettera f):
“trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali («integrità e riservatezza»)”.
Diventa a questo punto indispensabile, al fine di dimostrare la propria accountability aziendale richiesta dal Regolamento (artt. 5, 24), seguire un percorso logico, che dimostri come si sono protette le informazioni gestite e quali rischi corrono gli interessati che autorizzano a trattare i loro dati.
In tutte le organizzazioni è necessario redigere un documento di analisi dei rischi che venga applicato a processi, applicazioni, classi di informazioni e/o altri asset.
Questi documenti elencano i trattamenti che vengono effettuati all’interno dell’organizzazione, le minacce da cui l’organizzazione intende tutelarsi e come vengono effettuati i controlli.
A tal proposito ricordiamo l’art. 32 comma 2:
“Nel valutare l’adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati.”
Per raggiungere questo scopo viene poi definito il risk appetite, vale a dire quanto l’organizzazione è disposta a esporsi all’impatto del realizzarsi di una minaccia.
Definito il risk appetite viene attribuito a ogni minaccia il suo grado di probabilità potenziale di realizzarsi e quale è di conseguenza l’impatto che questo rischio avrebbe sul trattamento, in termini di riservatezza, integrità e disponibilità (parametri R, I, D).
Verificate quali misure sono state adottate per proteggere l’asset oggetto di valutazione (trattamento), il rischio viene riclassificato, per verificare se l’impatto residuo è accettabile, secondo quanto definito dal risk appetite.
Verifica delle politiche e delle procedure: occorre comprendere l’ambito in cui si svolge la raccolta delle informazioni relative alle politiche e alle procedure in essere. L’auditor dovrà richiedere tutta la struttura documentale in modo da esaminarne il contenuto.
L’auditor verificherà che per ogni trattamento o policy presente in azienda corrisponda la corretta gestione andando eventualmente a sanare le possibili anomalie.
Prendendo ad esempio il trattamento dei dati relativo a un impianto di videosorveglianza aziendale occorrerà verificare il regolamento interno, le lettere di incarico degli autorizzati al trattamento e all’accesso delle immagini e la presenza di una corretta informativa che espliciti tutte le informazioni necessarie.
Attuazione delle politiche e delle procedure: naturalmente non ci si potrà fermare al controllo documentale ma occorrerà verificare che ciò che è scritto sulla carta venga poi effettivamente messo in pratica. Tornando all’esempio appena espresso si andrà a verificare che le informative siano affisse e leggibili, che i cartelli di presenza delle telecamere siano installati in prossimità degli apparati di ripresa e che la durata di conservazione e conseguente cancellazione delle immagini corrisponda a quanto espresso ed indicato nei documenti.
Verifica delle idoneità dei controlli in essere: i controlli già effettuati all’interno dell’organizzazione sono sufficienti ed effettivamente realizzati? Ed inoltre sono puntualmente documentati da parte soprattutto dell’amministratore di sistema in accordo con il titolare del trattamento o con il DPO quando presente?
Anche questo processo deve essere verificato sia a livello documentale sia a livello operativo in modo da perfezionare il processo e renderlo eventualmente incrementabile.
Le falle del trattamento e la fase propositiva: tutta l’operatività dell’auditor è finalizzata al controllo e all’individuazione delle aree di rischio e delle minacce che possono occorrere. Sanare le falle vuol dire rendere l’azienda più sicura e resiliente dagli attacchi esterni. L’auditor, in ambito GDPR, dovrà compiere un corretto bilanciamento delle contromisure necessarie a livello normativo e a livello di protezione dei dati consigliando il DPO o il titolare del trattamento sui passaggi da compiere e le misure da attuare.
La redazione e pubblicazione del rapporto: nella fase conclusiva dell’operato dell’auditor occorre trasformare le idee e le proposte concordate in un piano operativo che sia scalabile e incrementabile da parte dell’azienda. Sarà effettuata un’opportuna analisi di costi e dei benefici in un processo circolare che vada a toccare tutte le aree aziendali che necessitano di interventi.
Il documento che verrà emesso dall’auditor dovrà essere condiviso e analizzato assieme al DPO che potrà apprendere appieno le indicazioni fornite e trasformarle in piena operatività aziendale.
La diffusione delle decisioni aziendali sarà sicuramente da condividere attraverso la redazione di nuove policy e nuovi percorsi formativi in modo che le indicazioni siano esplicitate e non imposte creando un processo di consapevolezza aziendale sempre più diffuso e condiviso.
