E’ notizia di oggi, 1° luglio 2022, che a Intesa Sanpaolo costa cara quella che è stata definita inizialmente una leggerezza, ma che invece è una chiaro segnale della necessità di un maggiore controllo delle istruzioni fornite agli incaricati del trattamento: 100 k eur.
Dall’ordinanza ingiuntiva nei confronti di Intesa Sanpaolo S.p.A. del 26 maggio 2022 (Registro dei provvedimenti n. 202 del 26 maggio 2022) emerge chiaro che per il Titolare del Trattamento non basta dare istruzioni ai propri incaricati. E’ fondamentale verificare il rispetto e il corretto assolvimento delle istruzioni fornite in particolare quando le richieste di accesso ai dati provengono da personale che ha prestato (o presta tuttora) servizio all’interno della propria organizzazione.
Tutto questo, a maggior ragione, quando parliamo di banche che sono tenute ad effettuare verifiche puntuali prima di comunicare i dati dei propri clienti ad altre persone, anche perché soggetti in precedenza autorizzati a conoscerli, nel tempo potrebbero aver perso questa facoltà.
E voi, quand’è l’ultima volta che avete verificato il modus operandi dei vostri incaricati?
Il Regolamento UE 679/2016 (GDPR) non impone, in maniera esplicita, di effettuare periodicamente degli audit sui trattamenti di dati, ma per chi svolge un ruolo aziendale importante in qualità di DPO è solito predisporre attività di audit all’interno delle realtà in cui opera.
Perché svolgere verifiche, attraverso audit, in ambito data protezione?
Le motivazioni per le quali si dovrebbe svolgere un’attività di audit sono molteplici: la prima – e più intuitiva – è per tutelare l’azienda rispetto a sanzioni o a richieste di risarcimenti di danni da parte di terzi. Tuttavia, l’attività di audit ha anche l’obiettivo di aumentare l’accountability e migliorare i processi interni dell’organizzazione.
Alcune delle verifiche effettuate durante gli audit sono:
- Valutazione degli adempimenti effettuati dal titolare tramite strutture interne o esterne;
- Gestione delle informative e dei consensi;
- Controllo riguardo gli adempimenti contrattuali dei Responsabili del Trattamento;
- Controllo dei Registri e della loro coerenza.
- Verifiche in ambito tecnico-organizzativo (amministratori di sistema, video-sorveglianza, firma digitale, profanazione, tempi di conservazione, esercizio dei diritti etc.)
Come si svolgono le attività di audit
In primis si deve tenere in considerazione che lo svolgimento di un audit in ambito privacy deve essere commisurato alla realtà sui cui si intende svolgerlo. È ovvio che l’attività di audit in una multinazionale richiede molto più tempo rispetto a un audit in una piccola impresa. È quindi opportuno pianificare le attività, nel caso anche segmentando in diversi parti l’azienda, in funzione delle aree di maggior rischio. Si sta parlando quindi di definire un vero e proprio programma di audit.
Come FinData abbiamo strutturato una procedura chiara che forniamo ai nostri clienti e che li mette in condizione di partecipare in maniera ATTIVA alle attività di audit. I controlli che vengono effettuati, circa 80, permettono poi di ottenere un report dettagliato che è il framework su cui il Titolare può concentrarsi, opportunamente supportato, nei mesi successivi.
Facciamo però un esempio concreto: l’informativa. Vediamo nel dettaglio che cosa deve verificare l’auditor.
Il titolare dovrebbe aver predisposto, per ogni categoria di interessati di cui intende raccogliere i dati, una adeguata informativa. Si controllerà dunque che:
1) Le informative riportano le informazioni richieste in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro
2) Le informative vengono fornite agli all’interessato, nel momento in cui i dati personali sono ottenuti
3) Le informative contengono tutte le informazioni previste dalla normativa quali:
- l’identità e i dati di contatto del titolare del trattamento e del suo eventuale rappresentante, ove applicabile anche i dati del responsabile della protezione dei dati
- le finalità del trattamento cui sono destinati i dati personali nonché la base giuridica del trattamento
- se, del caso, i legittimi interessi perseguiti dal titolare del trattamento o da terzi
- gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali
L’informativa potrebbe essere ineccepibile dal punto di vista formale ma non rispecchiare le reali modalità con cui si svolge un trattamento.
CONCLUDENDO
In questo articolo abbiamo illustrato una parte delle attività di verifica in ambito privacy, e non solo. Poiché non basta avere competenze in ambito privacy per potere approcciare correttamente questa materia, né bastano ovviamente corsi di poche ore per creare un auditor.
Esprimere un parere di conformità su tematiche ampie e articolate come il GDPR espone l’auditor a rilevanti rischi di errore. È quindi fondamentale rivolgersi a professionisti, specializzati nel settore, con ampia esperienza e, perché no, con una copertura assicurativa nel caso di contestazioni.
Non dimenticate che un prezzo troppo basso e poco tempo non sono indicatori di un servizio di qualità.
Ciò che un audit deve definire per poter raggiungere gli obiettivi sono:
a) il periodo e il perimetro dell’audit;
b) la finalità dell’audit;
c) i soggetti intervistati e le modalità di raccolta delle informazioni;
d) le tempistiche e le fonti delle informazioni, lo status attuale e i consigli di miglioramento, il piano di controllo.
Se riscontrate che anche soltanto un tassello ancora manca e desiderate risolvere tutte le eventuali criticità, correte subito ai ripari!
