Audit di conformità al GDPR
Audit di conformità al GDPR: come si realizza in azienda
Ad oltre un anno di distanza dall’entrata in vigore il Regolamento Europeo 2016/679 sulla protezione dei dati (General Data Protection Regulation – GDPR), ci sono ancora realtà non conformi ai nuovi dettami normativi. A partire dal 25 maggio 2018, infatti, le aziende avrebbero dovuto iniziare un percorso per valutare la propria conformità alla normativa ed eventualmente adeguarsi alla stessa.
Il primo passo del percorso è una valutazione dei processi aziendali in funzione del grado di rispetto della normativa vigente, a cura di un auditor esterno (fondamentalmente perché è difficile per chi è dentro accorgersi delle problematiche): dopo una attenta analisi, suggerisce le modifiche necessarie alla corretta raccolta ed al corretto trattamento dei dati.
L’audit si concentra su procedure, flusso di trattamento, conservazione dei dati e loro custodia, tipo di accesso ai dati che il personale può effettuare; su modalità di effettuazione del trattamento dei dati, tipologia dei dati modalità di raccolta e trattamento.
Particolare attenzione deve poi essere posta sulle modalità di gestione del sistema informatico, al fine di assicurare sia a “norma” e che i dati inseriti siano salvaguardati da sufficienti misure di sicurezza e con adeguate metodologie contro le minacce informatiche e telematiche.
A tal proposito, possiamo indicare una serie di ambiti per i quali è necessario approfondire l’analisi, anche in funzione della tipologia di società e dell’ambito in cui opera, dei seguenti aspetti:
- Cyber Security;
- Gestione dei dispositivi mobili;
- Cancellazione sicura dei dati;
- Gestione delle funzionalità connesse all’internet of things;
- Gestione dei Big Data;
- Gestione e prevenzione del Data Breach;
- Gestione della Sicurezza del Cloud Computing;
- Gestione della Business Continuity.
Come detto, è bene partire da un audit iniziale per valutare lo stato dell’arte e verificare le modalità e gli ambiti di un eventuale intervento.
Questo però non basta: una volta adottate le prescrizioni indicate, si dovrà procedere con un verifica almeno annuale sulla loro effettiva esecuzione. Questo perché, essendo una normativa relativamente giovane e sulla quale i singoli Stati possono intervenire, potrebbero intervenire novità che in parte possono inficiare il lavoro svolto: ecco perché è necessaria una sistematica verifica della propria compliance. Non solo: la stessa azienda potrebbe aver apportato ai propri sistemi/procedure delle modifiche tali da impattare sull’applicazione e la conformità al GDPR679/2016.
Quindi, indipendentemente dall’avere incaricato un DPO esterno, è consigliabile una verifica periodica dell’aderenza dei processi, dei sistemi e delle procedure alla normativa.