privacy audit
PRIVACY AUDIT
presentazione
Avere completato l'adeguamento normativo alla privacy, non è garanzia di compliance perché anche se non ci sono particolari modifiche normative, probabilmente, nel tempo sono occorse delle modifiche interne con riferimento all'organizzazione, alle strutture informatiche, a nuovi trattamenti di dati (anche temporanei), l'organico del personale può essere mutato con nuovi inserimento o spostamenti di mansione e queste modifiche dinamiche, tipiche di una qualsiasi azienda, richiedono dei controlli periodici e i conseguenti aggiornamenti documentali.
responsabilità del Titolare del trattamento
Le responsabilità del Titolare al Trattamento sono specificate all'art. 24 del GDPR dove si prescrive che: "...il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento."
Lo stesso art. 24, dispone anche che: "....Tali procedure siano riesaminate e aggiornate quando necessario."
Questo significa che il Titolare del trattamento dei dati deve riesaminare ed aggiornare, periodicamente e sistematicamente, le misure tecniche, tecnologiche e organizzative adottate per l'iniziale adeguamento normativo, in modo da garantire che le misure adottare, siano mantenute "allo stato dell'arte" e venga rispettato il principio dell'accountability del titolare (responsabilizzazione).
Accountability - Responsabilizzazione del Titolare
Il Titolare deve poter dimostrare la propria conformità, per il principio dell'accountability, come specificato in numerosi articoli e considerando del GDPR:
- (Considerando 74) "…il titolare del trattamento dovrebbe essere tenuto a mettere in atto misure adeguate ed efficaci ed essere in grado di dimostrare la conformità delle attività di trattamento con il presente regolamento, compresa l’efficacia delle misure…"
- (Considerando 85) "… a meno che il titolare del trattamento non sia in grado di dimostrare che, conformemente al principio di responsabilizzazione…"
- Articolo 5 comma 2 "Il titolare del trattamento è competente per il rispetto del paragrafo 1 e in grado di comprovarlo («responsabilizzazione»)."
- Articolo 24 comma 1 "… il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare..."
- Articolo 35 comma 7 lett. d "…e dimostrare la conformità al presente regolamento…"
perchè effettuare il PRIVACY AUDIT del Modello Organizzativo Privacy
Per Il mantenimento della conformità normativa al Regolamento UE 679/2016 - GDPR, è necessario che siano effettuati accurati controlli verificando, ad esempio, se vi sono state modifiche nelle tipologie dei dati trattati, nelle modalità di conservazione, se vi sono state modifiche sulla tipologia degli interessati coinvolti nel trattamento, se vi sono stati aggiornamenti e/o modifiche sulle infrastrutture tecnologiche destinate a conservare i dati, se le autorizzazioni al trattamento dati sono aggiornate rispetto all'effettivo organigramma.
Ad esempio, è sufficiente che una parte dei dati o una copia di essi venga trasferita nel cloud per dover aggiornare il Registro dei Trattamenti, oppure che venga inserito in organico un nuovo dipendente per dover aggiornare l'organigramma privacy delle autorizzazioni.
PRIVACY AUDIT dei Responsabili Esterni al trattamento dati
Qualora il Titolare del trattamento abbia affidato parte dei trattamenti all'esterno a dei Responsabili che, inizialmente, presentavano i requisiti previsti all'art. 28 comma 1 GDPR "... ricorre a responsabili del trattamento che presentano garanzie sufficienti per mettere in atto misure tecnche e organizzative adeguate...", deve predisporre le opportune azioni di verifica e controllo previste dall'art. 28 comma 3 lett. h) "...consenta e contribuisca alle attività di revisione, comprese le ispezioni, realizzate dal Titolare del trattamento...".
il nostro modello PRIVACY AUDIT
Il nostro modello di PRIVACY AUDIT dell'intero sistema di gestione di data protection, ha l'obiettivo di:
- verificare il grado di conformità alle normative vigenti del MODELLO ORGANIZZATIVO PRIVACY;
- verificare il grado di conformità alle policy di data protection, ovvero i protocolli di Data Protection interni predisposti dal Titolare del trattamento, che tutti i dipendenti sono obbligati ad applicare;
- accertare il livello di conformità al GDPR ed alle policy aziendali di un fornitore di servizi che implichino attività di trattamento di dati, (es. il consulente del lavoro che elabora le buste paga, il webmaster che ha in gestione i data base del sito web...), al fine di valutare che i requisiti dichiarati nella fase iniziale di stesura dell’accordo, sia rispettati e mantenuti nel tempo;
- accertare l’efficacia delle azioni correttive intraprese a seguito di eventuali “non conformità” evidenziate da un precedente audit di verifica;
- verificare la conoscenza normativa e delle procedure operative da parte di tutti coloro che sono coinvolti nei processi di trattamento dei dati.
durata e modalità del PRIVACY AUDIT
L'intervento di PRIVACY AUDIT dura mediamente una giornata, compresa la formazione del personale e prevede la revisione completa della documentazione a corredo del Modello Organizzativo Privacy:
- verifica dell'aggiornamento del REGISTRO DEI TRATTAMENTI;
- censimento dei trattamenti di dati effettuati;
- censimento delle categorie degli interessati;
- censimento delle infrastrutture tecnologiche e aggiornamento delle procedure organizzative;
- controlli aziendali: organizzativi, funzionali, fisici;
- verifica ed aggiornamento delle Procedure Operative interne;
- somministrazione di questionari di audit predisposti per ogni funzione aziendale;
- formazione e aggiornamento degli autorizzati interni e rilascio dell'attestato di partecipazione personalizzato.
MAGGIORI INFORMAZIONI
Per ottenere maggiori informazioni sul servizio PRIVACY AUDIT, compilate il form CONTATTI, indicando la tipologia del business aziendale e le dimensioni aziendali.