Le Aziende e Professionisti, in relazione alle Normative, non accettano di buon grado l'obbligatorietà degli adempimenti, per cui solitamente, a causa della complessità della materia, si rivolgono agli esperti per la consulenza e la preparazione documentale. L'esperto produce e consegna i documenti al cliente che provvede a collocare il tutto negli armadi, ritenendo impropriamente di aver così adempiuto alla Normativa o al Regolamento.
In particolare, il Regolamento UE GDPR e il decreto Lgs. 101/2018 IT, oltre alla preparazione dei documenti, richiedono una serie di adempimenti che l'azienda deve rispettare e documentare per tutto il periodo dell'attività. Una parte di adempimenti, predisposti dall'esperto, devono essere firmati dall'azienda e trasmessi ai terzi coinvolti, con riscontro documentale. Altri adempimenti sono a carico direttamente dell'azienda, con obbligo di documentarli.
L’auditor (ovvero il valutatore) è la persona che ha caratteristiche personali dimostrate e la competenza per effettuare un audit, deve essere un esperto di data protection sia a livello giuridico che informatico. Il ruolo di auditor deve essere oggettivo, imparziale e, soprattutto, non deve avere conflitti di ruolo con l’oggetto dell’audit, non deve avere responsabilità dirette con l’organizzazione o con il dipartimento/ufficio interessato dall’attività di valutazione. I nostri Auditor hanno competenze sulla normativa dal 2003 e sono esperti di informatica e telecomunicazione con know-how pluridecennale.
L'Audit controlla e verifica la conformità dell'azienda alle norme. Considerando che la non conformità comporta sanzioni sia amministrative che penali (a cui deve rispondere in solido il Titolare del trattamento dei dati) e che le sanzioni amministrative sono importanti ( ad esempio: non aver formato i propri dipendenti comporta una sanzione del 2% del fatturato annuo), ne consegue l'importanza delle verifiche sulla propria conformità.
La parola d'ordine del GDPR è "responsabilizzazione", concetto legato ai principi generali del trattamento del GDPR., per cui i Titolari devono assicurare il rispetto dei principi del trattamento per loro conto e per conto della propria organizzazione.
Si richiede la consapevolezza dei propri sistemi privacy e una corretta applicazione, la valutazione del rischio, una valutazione d'impatto e una mappatura dei dati trattati. Conoscere le criticità del trattamento che viene messo in atto è di primaria importanza.
Conoscere i punti di forza e di debolezza del proprio sistema di gestione è la chiave per colmare il gap tra come siamo e come dovremmo essere. L'attività di Conformità data protection è volta alla valutazione e verifica e al successivo risanamento dei punti di debolezza emersi.
La verifica preventiva testimonia la volontà di responsabilizzazione e di messa in sicurezza dei propri meccanismi di gestione privacy. L’attività di analisi preliminare è un’attività veloce (max due giorni in sede e uno di back office).
L'audit si volge con la compilazione di check-list che riguardano: analisi della documentazione esistente e della congruità con l’EU Reg. 679/2016. Analisi dello status quo, analisi dei processi di adeguamento, attraverso evidenze oggettive, procedure e processi operativi adottati. Valutazione del contesto nel quale opera l’organizzazione, viene così determinata la distanza dalla soluzione ottimale prevista dalla normativa vigente. L'audit si conclude con l'invio del Report di Audit documentale con la relazione.
È un processo di valutazione indipendente che si svolge periodicamente sulla base di un’attività di campionamento volto ad ottenere evidenze, relativamente ad un determinato contesto di analisi (l’azienda) e valutarle con obiettività, al fine di stabilire in quale misura i criteri prefissati dell’audit siano stati raggiunti o meno. Il concetto di audit può essere applicato a molte attività, comprese quelle della gestione dei dati, come è previsto dallo stesso GDPR. In tal senso la norma UNI EN ISO 19011- Linee Guida per la conduzione di Audit di Sistema, fornisce una guida sull'audit di sistemi di gestione, compresi i principi dell’attività di audit, la gestione dei programmi di audit e la conduzione degli audit di sistemi di gestione, così come una guida per la valutazione delle competenze delle persone coinvolte nel processo di audit.
Tale norma è applicabile a qualsiasi organizzazione che abbia l’esigenza di pianificare e condurre audit interni o esterni di sistemi di gestione o di gestire un programma di audit. I sistemi di gestione nascono per fronteggiare il rischio che l’organizzazione non raggiunga i propri obiettivi, attraverso un efficace governo dei propri processi e attività; l’audit è lo strumento più importante per valutare se i requisiti vengono applicati in modo coerente e con regolarità nell'ambito dei processi e se il sistema produce i risultati desiderati.
L' audit deve prefissare un obiettivo chiaro e condiviso, che può essere per esempio:
- verificare il grado di conformità alla normativa vigente
- verificare il grado di conformità alle policy di data protection, ovvero i regolamenti di data protection interni dettati dal Titolare del trattamento, che tutti i dipendenti sono tenuti ad osservare
- accertare il livello di conformità al GDPR e alle "data protection policy aziendali" di un fornitore di servizi che implichino la gestione e/o il trattamento di dati, (es. un call center in outsourcing, o semplicemente il consulente del lavoro che elabora le buste paga), al fine di valutare che i requisiti dichiarati e concordati nella fase iniziale di stesura dell’accordo, sia stati rispettati e mantenuti nel tempo
- accertare l’efficacia di azioni correttive intraprese a seguito di “non conformità” scaturite da un precedente audit
La corretta gestione dell’attività di audit prevede la formalizzazione di un piano di audit all’’interno del quale vengono esplicitati preventivamente:
- Gli obiettivi che si intendono raggiungere con l’attività di audit;
- I criteri che verranno adottati per raggiungere gli obiettivi di cui sopra, e quali sono i documenti di riferimento utilizzati (ad. esempio policy, regolamenti interni, procedure operative ecc.)
- Il campo operativo dell’audit, quali unità organizzative saranno coinvolte dalla verifica
- I giorni e i luoghi in cui verrà effettuato l’audit
- Il tempo stimato che è necessario per effettuare le verifiche sul posto, (ciò consente di allocare correttamente le risorse interne che dovranno essere coinvolte nell'attività di verifica)
- La check list di domande da utilizzare come supporto operativo che consentano di raggiungere il giusto livello di approfondimento
Tale piano va condiviso prima di iniziare l’effettiva attività di audit, durante una riunione di apertura per consentire la comprensione delle attività che si andranno a svolgere da parte di tutte le risorse coinvolte.
CONDUZIONE
La conduzione dell’Audit, prevede la raccolta e la verifica delle informazioni attraverso osservazioni dirette del processo, l’esame documentale, le interviste ai referenti del processo/area soggetti all'audit. Tutte le evidenze raccolte sono documentate e verificabili, basate su un campione delle informazioni disponibili poiché l’audit deve essere svolto su un periodo di tempo limitato.
RISULTATI
I risultati e l’esito complessivo dell’audit sono documentati attraverso un audit report. Le risultanze dell’audit, sono classificate in:
- non conformità
- osservazioni di miglioramento
- commenti/raccomandazioni
è sono dettagliatamente precisate.
AZIONI CORRETTIVE
il report contiene o richiama le modalità per correggere/colmare le carenze rilevate. I contenuti del rapporto di audit sono comunicati attraverso una riunione di chiusura con il management dell’azienda, e condivisi con le funzioni/aree/dipartimenti auditati, affinchè possano attivarsi per risolvere le non conformità rilevate con le opportune azioni correttive.
Il prezzo del servizio viene determinato dall'ampiezza del programma di audit, in termini di numero di attività di verifica da svolgere e delle risorse da impiegare, che dipendono dalla complessità dell’azienda (grande gruppo, PMI, Professionista) e dalla rilevanza dei trattamenti svolti. A seguito di un primo incontro viene preventivato e trasmesso al Cliente il piano di lavoro e il relativo prezzo del servizio. L'adottare un piano di verifiche documentate e preventive del proprio sistema di data protection, ha un’importanza strategica nel “comprovare” l’Accountability del Titolare, anche di fronte alle verifiche ispettive dell’autorità garante, nonché garantire la competitività sul mercato attraverso un adeguato e sempre aggiornato, livello di conformità al GDPR.
1 - Garantisce un più efficace processo di adeguamento alla vigente normativa (evitando sanzioni)
2 - Comprova la conformità dell’organizzazione nei confronti di organismi o visite ispettive
3 - Verifica l’aderenza e l’efficacia delle policies aziendali ( ad esempio: il comportamento del personale)
4 - Consente il monitoraggio dell’adeguatezza delle misure tecniche adottate (es. sicurezza delle reti informatiche)
5 - Consente la qualificazione dei fornitori (Responsabili trattamento) che trattano dati per conto dell'azienda
6 - Migliora la consapevolezza dell’organizzazione in relazione alla sicurezza e protezione dei dati personali
Siamo qui per aiutarti
© Copyright 2020 - Tutti i diritti riservati - Clustertech.it - P. IVA 03076050925