adv

La verifica in ambito di sicurezza e privacy è una procedura molto complessa e delicata che richiede esperienza. Ecco come effettuare verifiche per evitare i rischi dell’attività di audit

Svolgere un’attività di Audit, o meglio di verifica della corretta messa in atto della normativa sulla privacy, è davvero importante.

Intanto è un’attività delicata poiché si tratta di toccare con mano i dati sensibili di diversi utenti, inoltre serve a tutelare l’azienda da sanzioni o richieste di risarcimento danni da terze parti.

L’attività di Audit è necessaria anche per altre finalità, infatti si configura quale strumento di accountability, rispondendo all’obbligo di verifica e sorveglianza per il DPO.

Inoltre, può rappresentare una forma di supporto e consulenza per il titolare del trattamento in questione.

La normativa GDPR non specifica regole precise con cui effettuare le verifiche, in vero da nessuna parte è esplicitamente dichiarato che debbano essere eseguite delle verifiche, salvo all’art. 32.1.d.

Solo il DPO ha come compito formale quello di eseguire delle procedure di verifica della normativa della privacy, per questo il Titolare/Responsabile o lo stesso DPO che devono o vogliono svolgere delle attività di Audit possono adoperare la metodologia che maggiormente preferiscono.

In ogni caso possono sempre adoperare specifiche metodologie già disponibili, come quelle proposte da ISO o da ISACA, sempre tenendo presente che non sussiste alcun obbligo normativo al riguardo di per sé esaustiva e adatta allo svolgimento di un’attività di Audit.

Audit: i diversi tipi di verifica

Per eseguire una bona attività di Audit esistono diversi tipi di verifica, quali:

  • l’autovalutazione degli adempimenti effettuati dal Titolare/Responsabile tramite strutture interne (audit/compliance) o esterne;
  • la valutazione di un Titolare sugli adempimenti contrattuali del Responsabile;
  • valutazione degli adempimenti effettuati dal DPO anche per il tramite di strutture interne (audit/compliance) o esterne;
  • la valutazione di un Titolare sugli adempimenti contrattuali del DPO (intesa semplicemente come corrispondenza fra l’operato del DPO e quanto concordato contrattualmente, senza entrare nel merito delle modalità con cui tali attività sono state svolte);
  • valutazione di un Titolare sui requisiti del DPO.

Le verifiche in tal senso, sono caratterizzate dal necessario controllo in ambiti formalizzati (dove la normativa entra nel dettaglio) e in ambiti non formalizzati (vale a dire le misure di sicurezza), dove la responsabilità della definizione dei requisiti è in cario allo stesso Titolare.

Le verifiche possono essere effettuate anche in altri ambiti, per i quali esistono specifici provvedimenti che integrano la normativa primaria, quali ad esempio:

  • amministratori di sistema;
  • videosorveglianza;
  • firma grafometrica.

Oppure verifiche in ambito tecnico-organizzativo:

  • profilazione degli utenti;
  • tempi di conservazione;
  • esercizio dei diritti;
  • qualità dei dati.
Avatar
Sarnataro Carla, nata a Villaricca il 21 giugno del 1993, ha conseguito il diploma nel 2012 presso il Liceo scientifico A.M. De Carlo a Giugliano, mentre la Laurea Triennale in Scienze e Tecniche psicologiche nel 2015. A luglio 2018 ha conseguito la Laurea Magistrale con lode in Psicologia Clinica e di Comunità presso l’Università degli Studi di Napoli Federico II. La scrittura è una passione recondita che pian piano sta fiorendo attraverso diversi sbocchi; la lettura l’accompagna sin da piccola insieme ad altre passioni artistiche come la pittura e il disegno.