Dotarsi di uno strumento operativo per la conduzione degli audit DPO è utile nell’ottica di un miglioramento continuo del sistema di gestione privacy. Ecco come approntarlo e usarlo al meglio
Il miglioramento continuo di un sistema di gestione privacy si deve sviluppare attraverso l’analisi dei risultati qualitativi e quantitativi risultanti dall’attività di audit svolta dal DPO (Data Protection Officer, Responsabile della Protezione dei Dati) che, lo ricordiamo, ai sensi dell’art. 39 del GDPR svolge i seguenti compiti:
È vero, però, che le situazioni di emergenza come quella attuale caratterizzata dalla diffusione della COVID-19 ci costringono sempre più a svolgere audit in remoto e conseguentemente c’è la necessità di avere a disposizione degli strumenti “smart”.
Un programma di audit DPO può essere svolto in correlazione con quanto definito dallo standard ISO 9001:2015 attraverso l’applicazione del Ciclo di Deming (PDCA) e quanto definito nel Capitolo 5 della Norma UNI EN ISO 19011:2018 (Linee guida per la conduzione degli Audit):
Ogni DPO usa strumenti diversi per la conduzione degli audit, ma tutti devono rispondere all’obiettivo di verificare la conformità al GDPR.
Esistono ottimi software che gestiscono la conduzione degli audit, ma per coloro che non sentono la necessità di acquistarli è possibile predisporre uno strumento con Excel che permette di rilevare le non conformità e di proporre raccomandazioni/osservazioni.
Proviamo ad illustrare come è costruito e come lavora. Il file è costituito da diversi fogli collegati con il foglio iniziale che è il cruscotto di riepilogo generale delle evidenze dell’audit.
In primis, occorre definire le aree di controllo:
Quanto indicato non è un elenco esaustivo di tutti i controlli che si possono eseguire, ogni realtà ha i suoi processi e conseguenti criticità.
Per ogni area di controllo sono presenti il foglio di riepilogo generale dell’area e la check-list corrispondente.
Ogni check-list deve riportare gli obiettivi del controllo in termini di verifica dell’esistenza dei documenti e delle procedure. Ad ogni punto della check-list deve corrispondere un punteggio relativo alla conformità e una codifica del problema.
Le domande/controlli indicati in ogni check-list sono valutati secondo i seguenti punteggi:
NA = non applicabile
0 = non conforme
1 = mediamente conforme
2 = buono, da migliorare
3 = conforme
0 = nessun problema
1 = difetto documentale
2 = non applicato
3 = non documentato
Nella check-list si può evidenziare una non conformità maggiore, una non conformità minore o una raccomandazione/osservazione. Inoltre, è possibile descrivere le evidenze oggettive rilevate e le necessarie azioni correttive.
I risultati dei controlli effettuati sono riportati sul Cruscotto di riepilogo dell’area analizzata.
Nel cruscotto di riepilogo generale si evidenziano i gap per ogni area analizzata. Si è considerato come accettabile una conformità all’80% (celle verdi). Nel caso proposto l’incidenza della completa non applicazione di quanto richiesto dal GDPR sulla videosorveglianza ha un incidenza elevata sul totale della conformità.
Dall’analisi quantitativa si possono ricavare problematiche organizzative legate a mancanza di procedure adeguate o non applicate.
La finalità del rapporto di un audit DPO è documentare il risultato dell’attività e deve fare riferimento a:
Con lo strumento illustrato, è possibile inserire ogni singolo foglio con le evidenze emerse per ogni area e chiudere il rapporto con una tabella sinottica relativa alle non conformità maggiori e/o minori e le raccomandazioni per il miglioramento del sistema.
In ultimo, è necessario descrivere quanto indicato nella tabella sinottica e proporre i tempi e il contenuto delle necessarie azioni correttive.
Fonte: Claudio Solera per cybersecurity360.it