Uno step fondamentale ed imprescindibile in ambito Privacy è l'Audit.
Questo processo consiste in una valutazione di conformità dell'azienda sotto il profilo del trattamento dei dati personali, sia dal punto di vista elettronico e informatico che da quello cartaceo e rappresenta quindi lo strumento più importante per valutare se i requisiti vengono applicati in modo coerente, con regolarità e se il sistema produce i risultati desiderati.
La procedura, che richiede professionisti specializzati e il rispetto di diverse fasi operative, deve avere sempre fissato un obiettivo chiaro e condiviso, che può essere ad esempio:
verificare il grado di conformità alla normativa vigente;
verificare il grado di conformità alle policy di data protection, ovvero i regolamenti di data protection interni dettati dal Titolare del trattamento, che tutti i dipendenti sono tenuti ad osservare;
accertare il livello di conformità al GDPR e alle data protection policy aziendali di un fornitore di servizi che implichino la gestione e/o il trattamento di dati, (es. un call center in outsourcing, o semplicemente il consulente del lavoro che elabora le buste paga), al fine di valutare che i requisiti dichiarati e concordati nella fase iniziale di stesura dell’accordo siano stati rispettati e mantenuti nel tempo;
accertare l’efficacia di azioni correttive intraprese a seguito di “non conformità” scaturite da un precedente audit di verifica.
Il piano di audit
La corretta gestione di un’attività di audit prevede certamente la formalizzazione di un piano all’interno del quale vengono esplicitati preventivamente:
Gli obiettivi che si intendono raggiungere con l’attività di audit;
I criteri che verranno adottati per raggiungere gli obiettivi prefissati e quali sono i documenti di riferimento utilizzati (come ad esempio policy, regolamenti interni, procedure operative etc.);
Il campo operativo, quindi quali unità organizzative saranno coinvolte dalla verifica;
I giorni e i luoghi in cui verrà effettuato l’audit;
Il tempo stimato che è necessario per effettuare le verifiche sul posto, per consentire di allocare correttamente le risorse interne che dovranno essere coinvolte nell’attività di verifica;
La lingua da utilizzare nel corso delle attività di audit (solo nel caso di contesti internazionali);
La check list di domande, preferibilmente aperte e da utilizzare come supporto operativo, che consentano di raggiungere il giusto livello di approfondimento.
Tale piano va condiviso durante una riunione di apertura prima di iniziare l’effettiva attività di audit, al fine di consentire la comprensione delle attività che si andranno a svolgere da parte di tutte le risorse coinvolte.
I principi fondamentali dell’audit
Una corretta attività di audit si deve basare:
sull’integrità;
sull’imparzialità;
sulla professionalità;
sulla riservatezza;
sull’indipendenza;
su un approccio basato sull’evidenza.
Il report dell'audit
La conduzione dell’audit prevede la raccolta e la verifica delle informazioni attraverso osservazioni dirette del processo, l’esame documentale, le interviste ai referenti del processo o dell'area da auditare. Tutte le evidenze raccolte devono essere documentate e verificabili, basate su un campione delle informazioni disponibili poiché l’audit deve essere svolto su un periodo di tempo limitato. I risultati e l’esito complessivo devono essere poi dettagliatamente precisati e documentati attraverso un Audit Report che può essere classificato in:
non conformità
osservazioni/opportunità di miglioramento
commenti/raccomandazioni
Il report finale deve inoltre contenere o richiamare le modalità per correggere o colmare le carenze rilevate, che devono poi essere comunicate attraverso una riunione di chiusura con il management dell’azienda e condivise con le aree e i dipartimenti auditati, affinché possano attivarsi per risolvere le non conformità rilevate con le opportune azioni correttive.
Chi è l’auditor
L’auditor è il valutatore, cioè la persona che ha caratteristiche personali dimostrate e la competenza per effettuare un audit, dovrà quindi essere un esperto di data protection sia a livello giuridico che informatico. Colui che svolge il ruolo di auditor deve essere oggettivo, imparziale e, soprattutto, non deve avere conflitti di ruolo con l’oggetto dell’audit, ovvero, non deve avere responsabilità dirette con l’organizzazione o con il dipartimento o l'ufficio interessato dall’attività di valutazione.
Caratteristiche molto importanti dell’auditor sono la spiccata capacità comunicativa e di gestione delle risorse umane, l’abilità di persuadere, lo spirito di osservazione e la capacità di giungere tempestivamente a conclusioni basate sull’analisi e su ragionamenti logici.
Condurre un audit interno può essere un compito complesso, sia per un’azienda di grandi dimensioni, sia per una piccola impresa che non possiede le competenze necessarie.
Per questo motivo ti consigliamo di contattarci quanto prima per avere la possibilità di essere seguito da professionisti multidisciplinari in grado di fornirti competenze di advisory, legal e security in modo specifico a seconda della tua fattispecie.
Siamo a completa disposizione per qualsiasi chiarimento e supporto ai nostri recapiti:
Cel. 371 46 37 145 - 371 46 30 129
Tramite chat con un nostro operatore cliccando sul box "Serve aiuto" o ". . ." nella versione Mobile.