GDPR e audit

Poniamo che le aziende siano in una situazione ideale e siano passate attraverso un corretto processo di adeguamento al GDPR, e poniamo che siano sensibili alla tematica di protezione dei dati personali, e poniamo una domanda fondamentale: bastano adeguamento e sensibilità? La risposta è no, per i motivi che si espongono subito sotto.

Per essere costantemente compliant alla normativa europea bisogna effettuare un monitoraggio costante i) dei processi aziendali, ii) della documentazione prodotta e iii) della formazione del personale. Tutto ciò può essere effettuata tramite un’attività di auditing da programmare secondo scadenze determinate dal tipo di realtà e di attività svolte dall’azienda.

Vediamo, quindi, quali sono i punti da cui partire per effettuare l’audit all’interno delle aziende:

  • scelta dell’auditor, scegliere il giusto professionista per l’attività è fondamentale in quanto bisogna identificare una figura che sia in grado di comprendere la normativa, abbia esperienza in adeguamento e monitoraggio dei processi aziendali e che sia in grado di gestire un team di competenze, tanto quanto avere il giusto istinto e capacità di ascolto per effettuare le interviste in azienda;
  • definire gli obiettivi dell’audit, cosa si vuole ottenere con l’audit? Verificare la conformità dell’azienda alla normativa europea (processi, documentazione, formazione personale), verificare l’adeguatezza delle azioni correttive poste in essere, verificare l’adeguatezza delle politiche aziendali di trattamento dati;
  • definire i criteri e procedure dell’audit, l’auditor può seguire le procedure secondo le procedure dettate da certificazioni internazionali (quali ISO) oppure stabilire delle procedure al fine di adattarle al meglio alla realtà aziendale;
  • giorno, luogo e tempistiche, lingua dell’audit;
  • lista di domande da utilizzare in fase di auditing.

Definiti tutti i punti di cui sopra, bisogna chiedersi quali sono le figure che devono partecipare all’audit. Come auditor devono partecipare il leader del team, oltre ai collaboratori, nonché eventuali società che si occupano di audit in merito alla sicurezza dell’infrastruttura informatica e fisica dell’azienda.

Le figure dell’azienda che devono partecipare, invece, sono almeno le seguenti:

  • DPO (se nominato);
  • Privacy specialist;
  • Head dei dipartimenti che trattano dati e risultano essere sensibili per l’azienda (HR, marketing, IT tra i molti);
  • Collaboratori hanno ricevuto lo specifico incarico di gestire i processi di trattamento dati in un dipartimento.

Effettuati l’audit come definito e intervistate tutte le persone di riferimento, bisogna analizzare la fase conclusiva dell’audit. Tale fase si conclude con un report finale volto a definire la conformità o meno dell’azienda alla normativa europea e, in caso di non conformità, definire le azioni e misure correttive da porre in essere e le tempistiche per effettuarle: in tal modo al successivo audit si potrà valutare l’idoneità delle menzionate azioni e misure e, eventualmente, procedere ad ulteriore modifica.