Audit
In questo momento storico, nel quale la tecnologia consente dei trattamenti altamente invasivi per la privacy degli individui, e spesso anche occulti, la verifica dell'adeguatezza alle norme è essenziale. L'audit sulla data protection è la valutazione e revisione dei processi aziendali per valutarne l'efficienza o il rendimento, la confomità rispetto alle politiche e alle procedure stabilite, e alle norme in materia di protezione dei dati personali, e il raggiungimento degli obiettivi dichiarati, eseguito da un esperto indipendente (auditor). Il termine audit è inglese, e viene tradotto in italiano con diversi termini: revisione, controllo, verifica.
In base alla norma italiana UNI EN ISO 19011:2012 (Linee guida per gli audit dei sistemi di gestione) l'audit è un processo sistematico, indipendente e documentato per ottenere evidenze e valutarle con obiettitvità, al fine di stabilire in quale misura i criteri individuati precedentermente sono stati soddisfatti. L'audit, quindi, richiede che siano rispettate scrupolosamente una serie di regole.
Gestione del rischio
Alla base dell'attività di audit vi è una corretta valutazione del rischio. La gestione del rischio (risk management) è quel processo attraverso il quale si stima il rischio relativo ad una attività e si sviluppano le strategie per fronteggiarlo. In sostanza si tratta di individuare le possibili minacce e il correlato rischio, e quindi i danni che possono derivarne.
Attività di audit
Sostanzialmente l'audit consiste in un'intervista al titolare del trattamento, finalizzata a conoscere in che modo i dati sono trattati, e nella verifica dei trattamenti.
L'auditor deve conoscere gli aspetti organizzativi dell'azienda individuano un organigramma dedicato per la data protection e verificare:
- l'applicazione corretta dei principi;
- la gestione della trasparenza verso gli interessati tramite la fornitura delle informazioni;
- la raccolta dei consensi o la valutazione delle basi giuridiche dei trattamenti;
- la gestione dei diritti degli interessati e i rapporti con gli stessi;
- la gestione dei data breach e i rapporti sugli stessi;
- le eventuali valutazioni di impatto dei trattamenti;
- la redazione dei registri dei trattamenti;
- l'eventuale trasferimento di dati verso l'estero;
- le misure di sicurezza dei trattamenti, con particolare attenzione a quelli che utilizzano le nuove tecnologie (videosorveglianza, biometria, RFID, profilazione, marketing, IA, cloud computing, Big Data, Internet of things).
Uno dei primi compiti dell'auditor è quello di comprendere, e quindi descrivere, l'azienda come sistema, in particolare redigendo un organigramma dei soggetti che svolgono compiti in materia di protezione dei dati personali. Gli elementi da considerare sono i seguenti:
- normative e leggi;
- statuto lavoratori;
- giurisprudenza;
- gestione dati;
- gestione e conservazione documenti;
- nomine;
- analisi rischi;
- misure di sicurezza;
- disaster recovery;
- videosorveglianza e biometria;
- geolocalizzazione;
- altre tecnologie.
