Uno degli aspetti più difficili da far assimilare ai clienti, quando si parla di GDPR, è la necessità di svolgere una verifica periodica delle misure tecniche ed organizzative individuate ed adottate per la prevenzione del rischio nel trattamento dei dati.
Non basta, cioè, aver costruito un valido sistema organizzativo di tutela dei dati se i processi non vengono, poi, testati ed aggiornati nel tempo.
Anche i rapporti tra Titolare e Responsabile del trattamento sono improntati al rispetto delle istruzioni del primo da parte del secondo nel tempo, il che equivale a dire che il Titolare ha l’obbligo di controllare nel tempo l’osservanza delle regole date al Responsabile, verificando puntualmente che le categorie di dati trattati e le operazioni su di essi eseguite siano sempre posti in essere rispettando i parametri di liceità stabiliti dalle istruzioni fornite.
Uno degli strumenti utili alla verifica periodica della tenuta del sistema di protezione dei dati è senz’altro l’audit, nella sua duplice veste di audit interno e di audit esterno, nei confronti, cioè, dei fornitori o partner strategici del Titolare.
Come sappiamo, l’approccio basato sul rischio – il c.d. risk based approach – permea la struttura stessa delle norme del GDPR e ha ad oggetto, in particolare:
- rischio di mancata compliance normativa;
- rischio privacy strettamente inteso.
Nel primo caso, la mancata conformità normativa, cioè la non ottemperanza dell’organizzazione imprenditoriale alle legge ed alle norme tecniche, può derivare dalla mancanza di conoscenza della norma oppure da cosciente e consapevole omissione, con conseguenti sanzioni, perdite finanziarie, danni reputazionali, perdita di certificazioni, etc.
Nel secondo caso, il rischio di trattamenti illeciti di dati personali può conseguire a:
- distruzione, anche accidentale, dei dati;
- perdita dei dati;
- indisponibilità dei dati per un certo periodo;
- modifica non autorizzata dei dati;
- accesso non autorizzato ai sistemi informatici o archivi fisici.
In questo prospettiva, è evidente quanto possa essere importante svolgere periodicamente un’attività di audit basata sul rischio.
La valutazione di impatto sulla protezione dei dati basata, ad esempio, sui criteri ENISA, può offrire una valida guida per l’attività di audit, consentendo al Titolare del trattamento di orientare selettivamente l’impegno nelle fasi del processo di esecuzione del trattamento dei dati.
Utilizzando questo approccio risk-based, l’attività di audit sarà spiccatamente orientata dalla presenza dei rischi in ciascuna delle sue fasi:
- programmazione: i processi più esposti al rischio dovranno essere oggetto di audit periodici con più frequenza;
- pianificazione dell’audit: dovranno essere dedicate maggiori risorse all’audit dei processi più rischiosi;
- analisi sul campo: l’audit dovrà prestare particolare attenzione alle misure di mitigazione del rischio impostate dal Titolare;
- rilievi: dovranno essere classificati sulla base del livello di gravità, valutato tenendo presente le conseguenze di un mancato presidio dei rischi connessi.
Sulla base di questi parametri sarà, infine, possibile scegliere se: a) accettare il rischio; b) mitigarlo, tramite un’apposita procedura; c) evitarlo, eliminando alla radice la fonte del rischio (laddove possibile); d) trasferire il rischio, adottando misure alternative.
Un adeguato programma di audit periodici secondo l’approccio risk-based sopra descritto costituirà, dunque, un prezioso strumento nelle mani del Titolare sia per monitorare il rispetto delle regole adottate nella prima fase di applicazione dei principi del GDPR ai processi aziendali, sia per dimostrare documentalmente, secondo il principio di accountability, la costante implementazione delle misure di protezione da parte del Titolare del trattamento nel tempo, come richiesto dall’art. 32 GDPR.