DATA PROTECTION AUDIT
QUALIFICA FORNITORI
Servizio di auditing e verifica di conformità
per il governo della filiera dei trattamenti
effettuati dai partner e fornitori
per il governo della filiera dei trattamenti
effettuati dai partner e fornitori
Ogni titolare è gravato da un particolare onere: garantire che ogni partner, che partecipa al trattamento, sia tecnicamente e professionalmente idoneo, che presenti garanzie di professionalità sufficienti e che sia in grado di mettere in atto misure tecniche e organizzative adeguate al trattamento che gli viene affidato.
Questo requisito è richiesto sia per i responsabili del trattamento che per i sub-responsabili. Il titolare del trattamento sopporta l'intera responsabilità sull'operato dei propri partner e deve organizzare la filiera tenendo in considerazione i profili di responsabilità solidale che ha rispetto ad errori, omissioni o trattamenti non autorizzati effettuati da ciascuno dei propri partner.
Le verifiche devono essere organizzate, effettuate e documentate dal Titolare del trattamento verso tutti i fornitori, sia grandi che piccoli.
Il GDPR prevede espressamente due obblighi: la verifica preventiva del partner e il monitoraggio continuativo del suo operato.
A cosa serve l'audit di conformità al GDPR?
L'audit di conformità permette all'azienda di dimostrare di aver attuato un effettivo governo dei propri partner e fornitori, di aver concretamente disciplinato e monitorato le modalità di trattamento dei dati personali ad opera dei responsabili del trattamento e di aver fatto ricorso unicamente a partner tecnicamente e professionalmente idonei, specificamente qualificati rispetto al trattamento affidato.
In cosa consiste l'audit di conformità al GDPR?
L'audit è integrato alle procedure operative già previste dal titolare nell'ambito della propria organizzazione. Il processo di qualifica, già presente ai fini della qualità e della sicurezza, viene implementato in modo da includere gli specifici elementi previsti dal GDPR.
L'audit può essere condotto con diverse modalità, tanto più approfondite quanto più è elevato il rischio connesso al trattamento affidato:
Audit documentale standard
Audit documentale approfondito
Audit mediante verifica diretta da remoto
Audit mediante verifica diretta in loco con accesso alle strutture ed uffici
Audit periodico per la verifica del mantenimento dei requisiti iniziali e del miglioramento continuo
Verifica del rispetto delle misure di protezione e modalità di trattamento definite dal titolare
Gli obbiettivi delle verifiche riguardano la verifica del grado di conformità alla normativa vigente, del grado di conformità alle policy di data protection, ovvero i regolamenti di data protection interni dettati dal Titolare del trattamento, che tutti i dipendenti sono tenuti ad osservare, la verifica e l'accertamento del livello di conformità al GDPR e alle policy aziendali di un fornitore di servizi che implichino la gestione e/o il trattamento di dati, la verifica dei requisiti dichiarati e concordati nella fase iniziale del rapporto contrattuale, la verifica dell’efficacia di azioni correttive definite a seguito di non conformità rilevate da un precedente audit di verifica.
Il servizio di audit di conformità al GDPR varia in relazione al numero dei soggetti che partecipano alla filiera e alla tipologia di dati e di trattamenti affidati esternamente. Senza impegno, è possibile contattarci per predisporre un progetto di intervento dedicato.
L'audit di conformità: un amico utile.
Contrariamente a quanto si possa pensare, l'audit di conformità è un'attività utile e gradita al soggetto sottoposto alle verifiche. Forse a causa di un retaggio dal passato o, forse, per cattive esperienze accumulate in altri ambiti, esiste la tendenza a considerare le verifiche come una perdita di tempo, una adempimento formale, una procedura penalizzante o utilizzata come arma contro fornitori sgraditi. In alcuni casi estremi le verifiche sono addirittura considerare l'unica ragione che giustifica l'esistenza del verificatore stesso.
Questi approcci non hanno nulla a che vedere con le verifiche richieste dal GDPR e attuare dalla SGST srl: ogni audit si traduce in un vero e proprio atto consulenziale, gratuito per chi ne beneficia, volto al miglioramento dei processi, all'individuazione preventiva di possibili criticità e alla definizione di strategie di gestione e prevenzione dei rischi.
L'approccio benevolo, collaborativo e assertivo degli auditor viene rapidamente percepito e valorizzato da tutti i soggetti auditati.
Tecnologie utilizzate:
Non usiamo intelligenza artificiale: l'unico strumento utilizzato è un cervello umano.
Non usiamo blockchain: tutto scorre e le persone non hanno alcun beneficio dall'illusione data dall'immodificabilità di un file.
Non usiamo checklist standard: non esiste uno strumento predefinito capace di verificare ogni possibile situazione.
Usiamo la tecnologia solo per accorciare le distanze, abbreviare i tempi, semplificare i processi.
A corredo, si riportano gli articoli e i considerando del GDPR:
Considerando 74 …il titolare del trattamento dovrebbe essere tenuto a mettere in atto misure adeguate ed efficaci ed essere in grado di dimostrare la conformità delle attività di trattamento con il presente regolamento, compresa l’efficacia delle misure…
Considerando 85 … a meno che il titolare del trattamento non sia in grado di dimostrare che, conformemente al principio di responsabilizzazione…
Articolo 5.2 – Principi applicabili al trattamento di dati personali: Il titolare del trattamento è competente per il rispetto del paragrafo 1 e in grado di comprovarlo («responsabilizzazione»).
Articolo 24 – Responsabilità del titolare del trattamento: … il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare
Articolo 35.7.d – Valutazione d’impatto sulla protezione dei dati: …e dimostrare la conformità al presente regolamento…
Linee guida 3/2010 del WP29:
53. Esistono vari metodi a disposizione dei responsabili del trattamento per valutare l’efficacia (o l’inefficacia) delle misure. Per il trattamento di dati di maggiori dimensioni, più complesso e ad alto rischio, gli audit interni ed esterni sono metodi comuni di verifica. Anche il modo in cui vengono condotti gli audit può variare, da audit completi ad audit negativi (che possono a loro volta assumere forme diverse). Nel decidere come garantire l’efficacia delle misure, il Gruppo di lavoro articolo 29 suggerisce di utilizzare gli stessi criteri applicati per decidere le misure mutuati dall’articolo 17 della direttiva 95/46/CE, vale a dire, i rischi presentati dal trattamento e la natura dei dati. Pertanto, il modo in cui un responsabile del trattamento deve assicurare l’efficacia delle misure dipende dalla sensibilità dei dati, dalla quantità dei dati trattati e dai particolari rischi che il trattamento comporta. Gli orientamenti del Gruppo di lavoro relativi alle misure potrebbero comprendere anche indicazioni su questo aspetto.