Audit Data Protection e gestione del rischio

Audit Data Protection e gestione del rischio

 Audit

In questo momento storico, nel quale la tecnologia consente dei trattamenti altamente invasivi per la privacy degli individui, e spesso anche occulti, la verifica dell'adeguatezza alle norme è essenziale. L'audit sulla data protection è la valutazione e revisione dei processi aziendali per valutarne l'efficienza o il rendimento, la confomità rispetto alle politiche e alle procedure stabilite, e alle norme in materia di protezione dei dati personali, e il raggiungimento degli obiettivi dichiarati, eseguito da un esperto indipendente (auditor). Il termine audit è inglese, e viene tradotto in italiano con diversi termini: revisione, controllo, verifica. 

In base alla norma italiana UNI EN ISO 19011:2012 (Linee guida per gli audit dei sistemi di gestione) l'audit è un processo sistematico, indipendente e documentato per ottenere evidenze e valutarle con obiettitvità, al fine di stabilire in quale misura i criteri individuati precedentermente sono stati soddisfatti. L'audit, quindi, richiede che siano rispettate scrupolosamente una serie di regole. 

 

Gestione del rischio

Alla base dell'attività di audit vi è una corretta valutazione del rischio. La gestione del rischio (risk management) è quel processo attraverso il quale si stima il rischio relativo ad una attività e si sviluppano le strategie per fronteggiarlo. In sostanza si tratta di individuare le possibili minacce e il correlato rischio, e quindi i danni che possono derivarne. 

 

Attività di audit

Sostanzialmente l'audit consiste in un'intervista al titolare del trattamento, finalizzata a conoscere in che modo i dati sono trattati, e nella verifica dei trattamenti.
L'auditor deve conoscere gli aspetti organizzativi dell'azienda individuano un organigramma dedicato per la data protection e verificare:
- l'applicazione corretta dei principi;
- la gestione della trasparenza verso gli interessati tramite la fornitura delle informazioni
- la raccolta dei consensi o la valutazione delle basi giuridiche dei trattamenti;
- la gestione dei diritti degli interessati e i rapporti con gli stessi;
- la gestione dei data breach e i rapporti sugli stessi;
- le eventuali valutazioni di impatto dei trattamenti;
- la redazione dei registri dei trattamenti
- l'eventuale trasferimento di dati verso l'estero
- le misure di sicurezza dei trattamenti, con particolare attenzione a quelli che utilizzano le nuove tecnologie (videosorveglianza, biometria, RFID, profilazione, marketing, IA, cloud computing, Big Data, Internet of things). 

Uno dei primi compiti dell'auditor è quello di comprendere, e quindi descrivere, l'azienda come sistema, in particolare redigendo un organigramma dei soggetti che svolgono compiti in materia di protezione dei dati personali. Gli elementi da considerare sono i seguenti: 
- normative e leggi; 
- statuto lavoratori; 
- giurisprudenza; 
- gestione dati; 
- gestione e conservazione documenti; 
- nomine; 
- analisi rischi; 
- misure di sicurezza; 
- disaster recovery; 
- videosorveglianza e biometria; 
- geolocalizzazione; 
- altre tecnologie.