L’attività di audit è una verifica obiettiva e indipendente del grado di conformità di un’organizzazione.

L’audit è fondamentale al fine di individuare eventuali non conformità e suggerire proposte di miglioramento

Esso, non a caso, è uno dei quattro componenti del ciclo di Deming (“check”) ed è richiamato come adempimento in diverse norme ISO tra le quali ISO 27001.

Perché è importante l’audit nel GDPR?

Il GDPR, nella sua traduzione italiana, non contiene espressamente il termine audit.

Tuttavia, una lettura trasversale della versione inglese del regolamento, consente di rinvenirlo in diversi passaggi, alcuni dei quali estremamente importanti.

Rientra, infatti, tra le attività a carico del Responsabile del trattamento, il quale ha un obbligo a cooperare nelle attività di audit eventualmente istruite dal Titolare, ed è uno dei compiti del DPO, il quale esercita la sua funzione di controllo dell’operato della struttura del titolare e acquisisce maggiore conoscenza di quest’ultima anche mediante attività di audit.

Non è raro, infatti, che venga richiesto al DPO di presentare un dettagliato piano di audit GDPR da svolgere a cadenze predeterminate.

La cosa non deve stupire, in quanto esso rientra tra le attività che gli organi di garanzia devono svolgere anche in altre normative nelle quali vengano previste delle figure dotate di una funzione di controllo e di autonomia.

Per essere a norma, l’audit è importante per verificare il grado di conformità alla normativa vigente, ai regolamenti interni come la privacy policy che i dipendenti sono tenuti a osservare, la presenza di DPO qualificato, la possibilità di affidare a un fornitore di servizi esterno qualificato il trattamento dei dati, la verifica di adeguati piani di gestione data breach e di azioni correttive in caso di non conformità.

Le verifiche in un audit privacy

Nell’ambito di un audit privacy, le verifiche rilevanti possono così essere sintetizzate:

• valutazione degli adempimenti effettuati dal Titolare/Responsabile
• valutazione delle competenze, dei processi e degli adempimenti effettuati dal DPO
• verifica degli adempimenti contrattuali dei Responsabili
• valutazione di correttezza e completezza di informative, registri dei trattamenti, privacy policy, cookie policy
• valutazione delle misure di sicurezza (informatica e non)
• analisi degli esiti di un vulnerability assessment e di un penetration test
• valutazione delle competenze e dell’operato degli amministratori di sistema
• controllo degli adempimenti in materia di videosorveglianza
• valutazione dei processi di gestione di esercizio dei diritti dell’interessato e dell’efficacia nei casi trattati

Quando svolgere un audit?

L’audit viene tipicamente eseguito in caso di verifiche interne o per raggiungere certificazioni, ma come

Ad esempio, anche gli Organismi di Vigilanza ex 231/01 devono presentare annualmente un piano di audit.

L’audit è importante quindi innanzitutto perché rappresenta una buona pratica mediante la quale chi è chiamato a dover valutare, in maniera indipendente, la conformità di un ente a una normativa, potrà acquisire maggior conoscenza dei processi in essere presso quell’ente e impostare delle azioni correttive contestualizzate e perciò più efficaci.

È anche molto importante in termini di accountability, perché il possesso di un piano di audit e le risultanze di tali audit costituiranno una base per qualsiasi argomentazione che il Titolare vorrà adoperare in caso di richieste da parte dell’Autorità Garante o degli interessati.

BIT4LAW può supportarti nell’esecuzione di un audit GDPR.