Audit di conformità al GDPR: come si realizza in azienda

di Redazione PMI.it

scritto il

Audit Privacy: guida ragionata ai diversi step del percorso, da affidare preferibilmente ad un esperto esterno e con verifica periodica della conformità al GDPR.

Ad oltre un anno di distanza dall’entrata in vigore il Regolamento Europeo 2016/679 sulla protezione dei dati (General Data Protection Regulation – GDPR), ci sono ancora realtà non conformi ai nuovi dettami normativi. A partire dal 25 maggio 2018, infatti, le aziende avrebbero dovuto iniziare un percorso per valutare la propria conformità alla normativa ed eventualmente adeguarsi alla stessa.

Il primo passo del percorso è una valutazione dei processi aziendali in funzione del grado di rispetto della normativa vigente, a cura di un auditor esterno (fondamentalmente perché è difficile per chi è dentro accorgersi delle problematiche): dopo una attenta analisi, suggerisce le modifiche necessarie alla corretta raccolta ed al corretto trattamento dei dati.

L’audit si concentra su procedure, flusso di trattamento, conservazione dei dati e loro custodia, tipo di accesso ai dati che il personale può effettuare; su modalità di effettuazione del trattamento dei dati, tipologia dei dati modalità di raccolta e trattamento.

Alle aziende viene chiesto se esistono sistemi di sicurezza già attivi per proteggere i dati conservati, sistemi di backup, firewall, antispam; viene chiesto anche quali sono le procedure interne per la gestione delle mail, dei dispositivi portatili e di tutte le possibili falle del sistema. Una delle tipiche problematiche che emerge da questa prima valutazione, infatti, è la scarsità di formazione del personale nel riconoscere le criticità e nel conoscere i sistemi che utilizza.

Particolare attenzione deve poi essere posta sulle modalità di gestione del sistema informatico, al fine di assicurare sia a “norma” e che i dati inseriti siano salvaguardati da sufficienti misure di sicurezza e con adeguate metodologie contro le minacce informatiche e telematiche.

A tal proposito, possiamo indicare una serie di ambiti per i quali è necessario approfondire l’analisi, anche in funzione della tipologia di società e dell’ambito in cui opera, dei seguenti aspetti:

  • Cyber Security;
  • Gestione dei dispositivi mobili;
  • Cancellazione sicura dei dati;
  • Gestione delle funzionalità connesse all’internet of things;
  • Gestione dei Big Data;
  • Gestione e prevenzione del Data Breach;
  • Gestione della Sicurezza del Cloud Computing;
  • Gestione della Business Continuity.

Come detto, è bene partire da un audit iniziale per valutare lo stato dell’arte e verificare le modalità e gli ambiti di un eventuale intervento.

Questo però non basta: una volta adottate le prescrizioni indicate, si dovrà procedere con un verifica almeno annuale sulla loro effettiva esecuzione. Questo perché, essendo una normativa relativamente giovane e sulla quale i singoli Stati possono intervenire, potrebbero intervenire novità che in parte possono inficiare il lavoro svolto: ecco perché è necessaria una sistematica verifica della propria compliance.  Non solo: la stessa azienda potrebbe aver apportato ai propri sistemi/procedure delle modifiche tali da impattare sull’applicazione e la conformità al GDPR 679/2016.

Quindi, indipendentemente dall’avere incaricato un DPO esterno, è consigliabile una verifica periodica dell’aderenza dei processi, dei sistemi e delle procedure alla normativa.

——-

di Cristiano Montesi, CEO di IDEA Services (servizi per imprese ed enti pubblici su Privacy, ICT, Qualità, Finanza agevolata, Editoria, Marketing e comunicazione, Internazionalizzazione).


I Video di PMI

GDPR: Guida al nuovo Regolamento Privacy