Definizione di Audit e auditor
Oggi la parola audit, nell'ambito della normativa sulla privacy, indica lo strumento per valutare la conformità dell'azienda sotto il profilo del trattamento dei dati personali.
Nella Roma antica era così chiamata la procedura di audizione dei risultati contabili, da parte di chi doveva controllare l’amministrazione del denaro pubblico.
Già in quest’epoca la contabilità era fondamentale per la corretta amministrazione dello Stato e poteva essere svolta soltanto da figure specializzate e competenti.
Perché è importante?
Lo scopo della procedura è valutare se la conservazione dei dati e i vari supporti che li contengono rispettino la normativa italiana e UE.
La valutazione riguarda sia i supporti tradizionali come quello cartaceo, sia i più recenti come quello informatico.
Inoltre, sarà necessario controllare anche la loro corretta gestione.
Chi è l'auditor
La valutazione di conformità può essere svolta soltanto da professionisti specializzati nella materia.
Il risultato della valutazione sarà l’indicazione specifica delle modifiche da apportare per rendere l’azienda adeguata alla normativa sulla privacy.
Il professionista incaricato di eseguire l’audit è detto auditor, letteralmente “colui che ascolta”.
I compiti dell’auditor
L’auditor ha il compito, attraverso un corretto e approfondito uso dell’audit, di mettere in evidenza le criticità e il mancato adeguamento agli obblighi normativi.
Ecco un breve elenco dei suoi interventi:
- analisi di ogni aspetto della procedura di gestione documentale
- verifica del flusso di dati personali dell’azienda
- raccolta di tutte le informazioni necessarie all’adeguata conservazione dei dati personali
- individuazione delle criticità della privacy policy aziendale
Conclusa la procedura di audit, l’azienda avrà tutte le informazioni e gli strumenti per evitare zone di rischio e conseguenti responsabilità legali.
Esistono tre tipologie di audit che ora analizzeremo.
Audit di primo livello o di prima parte (interno)
L’audit di primo livello è il controllo che l’azienda effettua sui propri dati e sui processi internamente.
Questa tipologia di audit è la più semplice per il controllo della corretta conservazione dei dati.
I requisiti dell'auditor di primo livello
L’auditor che gestisce questa tipologia di valutazione può essere un professionista esterno ma anche un professionista interno all’azienda.
Nel caso in cui l’auditor sia interno all’azienda deve essere un esperto di data protection, a livello giuridico e informatico.
Ecco sintetizzate, le caratteristiche richieste all’auditor:
- competenze in materia di data protection
- oggettività e imparzialità,
- indipendenza rispetto al settore per cui esegue l'audit
Questi requisiti possono rendere difficoltoso, per l'azienda, individuare un professionista interno.
Per questo motivo, anche se non espressamente richiesto, questa fase può essere gestita da un auditor esterno.
Audit di secondo livello o di seconda parte (esterno)
Questa tipologia di audit, come si evince dal nome, deve essere eseguita da un auditor esterno.
Lo scopo è verificare il grado di qualità offerto dall’azienda oggetto di audit, per quanto riguarda la conservazione dei dati.
In questo caso, l’auditor è un professionista di un'azienda che vuole diventare partner o che lo è già.
Chiariamo meglio questo concetto.
Differenza fra audit di pre-qualificazione e audit di mantenimento
Audit di pre-qualificazione
L'audit di pre-qualificazione, viene eseguito da un auditor dell’azienda che è interessata a diventare partner.
Facciamo un esempio per capire meglio cosa si intende per pre-qualificazione.
L'azienda di vendita al dettaglio Tutto a un euro srl vuole diventare cliente dell'azienda informatica Il Dischetto srl.
Prima di affidarle la gestione dei suoi dati, vuole sincerarsi che tali dati saranno gestiti in totale sicurezza.
Per questo motivo incarica un suo professionista di eseguire un audit di pre-qualificazione.
Il risultato permetterà una valutazione oggettiva delle procedure, dei rischi e della conseguente sicurezza nella gestione dei dati.
Più precisamente, possiamo dire che l'audit viene svolto quando due parti sono in trattativa, anteriormente alla stipula di un contratto.
Il suo obiettivo è quello di valutare l’opportunità di concludere l'accordo con un'azienda che soddisfi i requisiti di un accurato sistema di protezione dei dati.
È quindi utile, in fase di acquisizione di un nuovo cliente, avere un auditor che possa affiancare l’azienda.
Audit di mantenimento
In questo caso, l'auditor è un professionista che lavora per l’azienda già partner.
La funzione dell’audit, tra due aziende partner, è valutare il rispetto di conformità dei servizi forniti con quelli oggetto del contratto, così come previsto dal GDPR (Regolamento Generale sulla Protezione dei Dati).
Il GDPR stabilisce come i dati personali debbano essere trattati, le modalità di raccolta, utilizzo, protezione e condivisione.
Nello specifico è l’art. 28 del GDPR che definisce le caratteristiche che il titolare del trattamento dei dati personali deve garantire al cliente.
Il titolare del trattamento deve presentare “garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate, in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato”.
Perché è importante l'audit di secondo livello
Ben si comprende come sia di estrema importanza l’esito positivo dell’audit di secondo livello, poiché coinvolge la valutazione degli obblighi precontrattuali e contrattuali tra fornitore e cliente.
L’esito negativo di un audit di mantenimento comporta immediate conseguenze che ricadranno sul Titolare dell’azienda che non abbia garantito la sicurezza nel trattamento dei dati.
Dall’esito dell’audit può emergere anche una responsabilità diretta del responsabile esterno del trattamento dei dati personali se verrà provato che abbia agito in modo difforme o contrario rispetto alle legittime istruzioni.
Audit di terzo livello o di terza parte
Questo tipo di audit non può essere affidato ad un professionista interno o esterno come per gli altri livelli.
Deve essere eseguito da un organismo di certificazione indipendente e accreditato.
L’auditor non può essere in alcun modo un soggetto che abbia legami con l’azienda.
L’esito dell’audit di terzo livello non si limiterà a suggerire le modalità di adeguamento e miglioramento, come nell’audit interno, o a individuare violazioni precontrattuali o contrattuali come nell'audit esterno.L’audit di terza parte, infatti, ha l'obiettivo di rilasciare una certificazione di qualità.
Adempimenti del titolare del DPO per la preparazione dell’audit
L’audit deve verificare l’adempimento di numerose procedure.
Qui di seguito, un elenco delle più rilevanti:
- la compilazione conforme dei registri delle attività di trattamento
- l’individuazione e formalizzazione dei ruoli riguardanti i soggetti che partecipano ai trattamenti di protezione dati
- l’individuazione e applicazione delle basi giuridiche del trattamento dei dati
- la corretta redazione delle informative da rilasciare agli interessati e le procedure per il rilascio
- l'individuazione e l’implementazione delle misure tecniche e organizzative al fine di rispettare quanto stabilito dal GDPR UE/2016/679 (Regolamento generale sulla protezione dei dati)
- l’individuazione ed eventuale implementazione delle misure tecnico/organizzative dell’azienda che garantiscano il rispetto della sicurezza ex art. 25 GDPR (Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita) e della art. 32 GDPR (Sicurezza del trattamento)
- analisi e redazione di un documento che esamini i rischi di violazione dei diritti e della libertà delle persone fisiche
- la predisposizione di procedure adeguate al trattamento dei dati ex art. 9 GDPR (Trattamento di categorie particolari di dati personali) e ex art. 10 GDPR (Trattamento dei dati personali relativi a condanne penali e reati)
- l’individuazione e formalizzazione delle misure per il trasferimento dei dati all’estero
- la predisposizione della procedura per la corretta formulazione della richiesta del consenso all’utilizzo dei dati personali, quando sia richiesto
Designazione del DPO (Data Protection Officer)
Altrettanto rilevante è la designazione del DPO, in italiano RDP (Responsabile della Protezione dei Dati).
Per la valutazione delle caratteristiche e delle competenze del DPO, l'azienda deve fissare i criteri con cui individuare questa figura, indicando:
- i compiti che dovrà svolgere
- la sua posizione in azienda
Un esempio pratico
Immagina di essere il titolare di un'azienda che abbia necessità di verificare l’adeguatezza delle proprie procedure di trattamento dei dati personali.
Per agire in conformità alle linee guida imposte dal Garante della Privacy per il trattamento dei dati personali di dipendenti, collaboratori e clienti, avrà la necessità di effettuare un audit.
Per questo motivo, dovrà rivolgersi a un professionista preparato e aggiornato che indichi la strada per evitare sanzioni e costruisca l’immagine migliore da presentare ai clienti.
Conclusioni
Le aziende che vogliono applicare nel modo corretto la normativa GDPR UE/2016/679 devono sottoporsi periodicamente all’Audit.
Soltanto questo controllo periodico potrà garantire all’azienda che la sua policy privacy sia corretta, permettendo la costruzione di un immagine solida per la gestione dati.
Ciò è fondamentale sia per quanto riguarda i dipendenti che i clienti.
Lo studio legale Polimeni.Legal ha professionisti competenti che svolgono da anni attività di audit in tutti gli ambiti in cui la normativa Privacy è essenziale.
A titolo esemplificativo si evidenziano i seguenti settori:
- Verifica corretta gestione dati per siti web
- Verifica corretta gestione e protezione dati sui Social network
- Verifica gestione dati in software applicativi e gestionali
Per ricevere una consulenza a riguardo puoi contattarci attraverso il form qui sotto.
