Secondo il principio di accountability, il titolare del trattamento deve sempre poter dimostrare l’efficacia del sistema di gestione della protezione dei dati personali e l’adeguatezza delle misure di sicurezza implementate.
Per essere efficace, il processo di verifica del sistema di gestione della Data Protection deve essere interpretato come una procedura che consente un continuo miglioramento.
La presenza di anomalie dovrebbe rappresentare non una problematica, bensì un punto di partenza per analizzarle, gestirle e attuare un piano di remediation da monitorare per eliminarle.
Un modello standard di verifica del sistema di gestione della Data Protection
La verifica può avvenire in diversi modi e con differenti approcci: con rilevazione documentale, con approccio consulenziale, oppure volto a identificare un remediation plan.
Visto che chi svolge l’attività deve sempre dichiarare a priori lo scopo e la modalità della verifica, è bene avere chiari tutti gli aspetti che riguardano questa importante operazione.
Abbiamo raccolto le 6 domande più comuni che riguardano la verifica dell’efficacia del sistema di gestione della Data Protection.
1. Chi deve fare le verifiche:
In base a come è strutturata l’azienda, l’ente o l’organizzazione, esistono diversi soggetti che potrebbero incaricarsi di effettuare questa verifica.
Questi soggetti potrebbero essere ad esempio i responsabili di funzione in base alla propria area di competenza, , oppure le funzioni di controllo interne come ad esempio gli addetti alla compliance o alla security, le funzioni di controllo indipendenti come i componenti dell’Internal Audit o dell’Organismo di Vigilanza (ODV).
Ma potrebbe spettare anche al Data Protection Officer oppure a soggetti esterni incaricati di questa verifica.
2. Come vengono effettuate le verifiche?
Le verifiche possono essere effettuate in numerose modalità. Attraverso interviste, verifiche documentali, verifiche sul campo, con una simulazione di ispezione delle autorità, oppure con un mistery client.
Molto dipende anche dall’obiettivo finale, dall’approccio con cui viene svolta la verifica e soprattutto se viene pianificata oppure effettuata a sorpresa.
3. Qual è il perimetro di verifica?
Con l’ausilio di un team competente interdisciplinare si possono fare verifiche complete, altrimenti le verifiche sono specifiche, per competenza.
Il perimetro di verifica può essere il sistema stesso, riguardare un trattamento specifico, oppure analizzare un set di dati specifici, come ad esempio quelli appartenenti a una determinata categoria di clienti o collaboratori.
4. Esiste una sequenza da seguire in tutte le verifiche?
Vale sempre la regola della personalizzazione delle verifiche e della variabilità di numerosi fattori: quindi non esiste una sequenza univoca composta da fasi obbligatorie da rispettare.
Per riuscire a individuare le fasi e definire una sequenza, occorre valutare numerosi aspetti:
- Il modello organizzativo;
- Il registro dei trattamenti;
- La raccolta del consenso;
- La progettazione di misure di sicurezza;
- La gestione di eventuali responsabili;
- La gestione dei diritti degli interessati;
- La presenza di eventuali DPIA (Data Protection Impact Assessment);
- La gestione di eventuali Data Breach;
- La gestione di eventuali reclami.
5. Con che frequenza si devono effettuare le verifiche?
Impossibile stabilire un numero preciso di giorni, settimane, mesi o anni.
Anche in questo caso la risposta è figlia di alcune variabili da prendere in considerazione per individuare la frequenza adatta alla situazione.
Il perimetro su cui si va ad operare, il livello di maturità dell’organizzazione, la peculiarità aziendale, la modalità della verifica, quante risorse vengono utilizzate, quali e quanti soggetti vengono coinvolti.
6. Quali sono le evidenze?
Le evidenze possono essere rappresentate da report, da verbali, da allegati documentali di processo, da materiale multimediale (audio, foto, video, screenshot), allegati documentali di esecuzione e allegati tecnici.
