Dotarsi di uno strumento operativo per la conduzione degli audit DPO è utile nell’ottica di un miglioramento continuo del sistema di gestione privacy. Ecco come approntarlo e usarlo al meglio

Il miglioramento continuo di un sistema di gestione privacy si deve sviluppare attraverso l’analisi dei risultati qualitativi e quantitativi risultanti dall’attività di audit svolta dal DPO (Data Protection Officer, Responsabile della Protezione dei Dati) che, lo ricordiamo, ai sensi dell’art. 39 del GDPR svolge i seguenti compiti:

1. informare e fornire consulenza in materia di protezione dei dati personali;
2. sorvegliare l’osservanza del GDPR;
3. fornire, se richiesto, un parere in merito alla DPIA (valutazione d’impatto sulla protezione dei dati personali);
4. cooperare con l’autorità di controllo;
5. fungere da punto di contatto per quest’ultima.

È vero, però, che le situazioni di emergenza come quella attuale caratterizzata dalla diffusione della COVID-19 ci costringono sempre più a svolgere audit in remoto e conseguentemente c’è la necessità di avere a disposizione degli strumenti “smart”.

Gestione di un programma di audit DPO

Un programma di audit DPO può essere svolto in correlazione con quanto definito dallo standard ISO 9001:2015 attraverso l’applicazione del Ciclo di Deming (PDCA) e quanto definito nel Capitolo 5 della Norma UNI EN ISO 19011:2018 (Linee guida per la conduzione degli Audit):

PLAN (pianificare):

• Punto 5.2: definizione degli obiettivi del programma di audit
• Punto 5.3: determinazione e valutazione dei rischi e delle opportunità del programma di audit
• Punto 5.4: definizione del programma di audit.

DO (fare):

• Punto 5.5: attuazione del programma di audit.

CHECK (verificare):

• Punto 5.6: monitoraggio del programma di audit

ACT (agire)

• Punto 5.7: riesame e miglioramento del programma di audit

Strumento operativo per la conduzione di audit DPO

Ogni DPO usa strumenti diversi per la conduzione degli audit, ma tutti devono rispondere all’obiettivo di verificare la conformità al GDPR.

Esistono ottimi software che gestiscono la conduzione degli audit, ma per coloro che non sentono la necessità di acquistarli è possibile predisporre uno strumento con Excel che permette di rilevare le non conformità e di proporre raccomandazioni/osservazioni.

Proviamo ad illustrare come è costruito e come lavora. Il file è costituito da diversi fogli collegati con il foglio iniziale che è il cruscotto di riepilogo generale delle evidenze dell’audit.

In primis, occorre definire le aree di controllo:

• Verifica documentale
• Misure per garantire l’integrità e la disponibilità dei dati
• Misure per garantire la protezione delle aree e dei locali
• Criteri e modalità per il ripristino della disponibilità dei dati
• Criteri in caso di affidamento dei dati all’esterno della struttura
• Interventi formativi e organizzativi
• Videosorveglianza

Quanto indicato non è un elenco esaustivo di tutti i controlli che si possono eseguire, ogni realtà ha i suoi processi e conseguenti criticità.

Cruscotto di riepilogo e check list per area di verifica

Per ogni area di controllo sono presenti il foglio di riepilogo generale dell’area e la check-list corrispondente.

Ogni check-list deve riportare gli obiettivi del controllo in termini di verifica dell’esistenza dei documenti e delle procedure. Ad ogni punto della check-list deve corrispondere un punteggio relativo alla conformità e una codifica del problema.

Le domande/controlli indicati in ogni check-list sono valutati secondo i seguenti punteggi:

Valutazione Conformità:

NA = non applicabile
0 = non conforme
1 = mediamente conforme
2 = buono, da migliorare
3 = conforme

Codifica problema:

0 = nessun problema
1 = difetto documentale
2 = non applicato
3 = non documentato

Nella check-list si può evidenziare una non conformità maggiore, una non conformità minore o una raccomandazione/osservazione. Inoltre, è possibile descrivere le evidenze oggettive rilevate e le necessarie azioni correttive.

I risultati dei controlli effettuati sono riportati sul Cruscotto di riepilogo dell’area analizzata.

Cruscotto di riepilogo generale

Nel cruscotto di riepilogo generale si evidenziano i gap per ogni area analizzata. Si è considerato come accettabile una conformità all’80% (celle verdi). Nel caso proposto l’incidenza della completa non applicazione di quanto richiesto dal GDPR sulla videosorveglianza ha un incidenza elevata sul totale della conformità.

Dall’analisi quantitativa si possono ricavare problematiche organizzative legate a mancanza di procedure adeguate o non applicate.

Rapporto di un audit

La finalità del rapporto di un audit DPO è documentare il risultato dell’attività e deve fare riferimento a:

• gli obiettivi dell’audit;
• il campo di applicazione dell’audit, in particolare l’identificazione delle unità organizzative e dei processi sottoposti ad audit;
• l’identificazione del committente dell’audit;
• l’identificazione del gruppo di audit e dei partecipanti all’audit della organizzazione oggetto dell’audit;
• le date e i siti dove sono state condotte le attività dell’audit;
• i criteri dell’audit;
• le risultanze dell’audit e relative evidenze;
• le conclusioni dell’audit;
• una dichiarazione sul grado in cui i criteri di audit sono stati soddisfatti.

Con lo strumento illustrato, è possibile inserire ogni singolo foglio con le evidenze emerse per ogni area e chiudere il rapporto con una tabella sinottica relativa alle non conformità maggiori e/o minori e le raccomandazioni per il miglioramento del sistema.

In ultimo, è necessario descrivere quanto indicato nella tabella sinottica e proporre i tempi e il contenuto delle necessarie azioni correttive.

Fonte: Claudio Solera per cybersecurity360.it