***
Perché svolgere un’attività di audit, o meglio una verifica di conformità, in ambito privacy?
La corretta esecuzione di controlli di conformità costituisce:
- uno strumento di tutela del titolare del trattamento rispetto a sanzioni o a richieste di risarcimenti di danni da parte di terzi: verificando il livello di conformità alla normativa è possibile individuare tempestivamente e correggere eventuali anomalie e criticità nella propria attività di trattamento;
- uno strumento di accountability a disposizione e supporto del titolare del trattamento, il quale ha l’obbligo di essere conforme alla normativa e, contemporaneamente, di potere in ogni momento dimostrare tale conformità (cfr. GDPR, cons. 74 e 85; artt. 5 “Principi applicabili al trattamento di dati personali”, 24 “Responsabilità del titolare del trattamento”, 35 “Valutazione d'impatto sulla protezione dei dati”).
La verifica pertanto contribuisce a documentare il percorso di adeguamento condotto dal titolare e costituisce inoltre uno stimolo, per il titolare stesso, a tenere traccia di tutte le evidenze di tale percorso, organizzandole preventivamente: la mancanza di evidenze implica infatti di per sé una non conformità e quindi rappresenta un primo oggetto di rilievo in sede di verifica;
- uno strumento di attuazione degli obblighi di sorveglianza e controllo propri del DPO (indubbiamente la concreta articolazione delle funzioni generali attribuitegli dalla normativa implica un coinvolgimento generale del DPO nelle attività di compliance del titolare che lo designa: cfr. The DPO Handbook, par. 2.5.4, pag. 142: “From the above, and taking this caveat about the non‐responsibility of the DPO into account, we deduce fifteen tasks of the DPO, or which will in practice involve the DPO (plus a Preliminary task), which can be grouped under the seven function headings identified by the EDPS).
Per quale motivo parliamo di verifiche e non di audit in senso stretto?
La normativa non codifica specifiche regole in merito alle modalità di svolgimento dei controlli sulla conformità al GDPR. In realtà non prevede neppure in capo al titolare/responsabile un vero e proprio obbligo di svolgere verifiche (salvo, ad esempio, quanto “suggerito” dall’art. 32.1.d). Solo il DPO ha tra i propri compiti formali quello di effettuare un’attività di “sorveglianza” dell’osservanza della normativa privacy da parte del titolare/responsabile.
In tale contesto, il titolare/responsabile o il DPO possono decidere liberamente quale metodologia utilizzare per svolgere l’attività di verifica.
Proprio in ragione di tale discrezionalità di metodo risulta più corretto definire le attività di controllo “verifica” piuttosto che “audit”, in quanto non tutte le verifiche sono necessariamente strutturate sotto forma di audit.
Naturalmente, nel caso in cui il titolare/responsabile o il DPO desiderino svolgere una vera e propria attività di audit possono utilizzare metodologie già disponibili, come quelle proposte da ISO (ad esempio la 19011), da ISACA (per la parte ICT), dal “The Institute of Internal Auditors”.
Si ribadisce comunque che, seppure è senza dubbio consigliabile utilizzare linee guida e standard codificati da associazioni di settore riconosciute o da organismi di normazione, non esiste alcun obbligo normativo circa la loro applicazione.
Ma un audit secondo gli schemi già disponibili è sufficiente per verificare la conformità ai sensi del GDPR?
Anche tali schemi e metodologie non risultano esaustivi a fronte della complessità della normativa privacy vigente, che ha introdotto cambiamenti e innovazioni che comportano la necessaria revisione dell’approccio alle verifiche.
In particolare:
- cambia il perimetro di tutela: si passa dalla tutela dei dati personali in senso stretto alla tutela dei diritti e libertà delle persone fisiche (cfr., per tutti, The DPO Handbook, Task 3, pag. 181: “It should be noted that the risks to be assessed are not just the security risks in a narrow sense – i.e., the likelihood and impact of a data breach – but rather, the risks to the rights and freedoms of the data subjects (and other individuals) that may be posed by the processing operation. This includes not only their general rights to privacy and private life as well as their specific data subject rights, but also, depending on the case, their rights to freedom of expression, freedom of movement, freedom from non‐discrimination, freedom from authoritarian power and the right to stay in a democratic society without undue surveillance by their own, or by other countries, and the right to an effective remedy. The concept is broad.”)
- molti adempimenti che in precedenza erano impliciti ora devono essere formalizzati e documentati e la loro assenza è sanzionata;
- vengono introdotti nuovi obblighi, come quello per il titolare di essere in grado di dimostrare, in ogni momento, la propria conformità o quelli derivanti dall’osservanza del principio di privacy by design e privacy by default;
- la responsabilizzazione del titolare/responsabile fa sì che molte azioni da compiere in adempimento del GDPR non siano predefinite con regole codificate (ad esempio, non sono più previste le misure minime di sicurezza).
In tale contesto, tutti i soggetti coinvolti in veste di “controllori” o di “controllati” vengono privati di punti di riferimento certi.
È evidente dunque come nessuna di queste metodologie standardizzate riesca autonomamente a verificare tutti gli elementi coinvolti dall’attuale normativa.
Quali sono i tipi di verifica che rilevano in ambito privacy?
Come indicato dal parere 3/2010 del WP29 sul principio di responsabilità, che da questo punto di vista risulta ancora perfettamente attuale:
“53. Esistono vari metodi a disposizione dei responsabili del trattamento per valutare l’efficacia (o l’inefficacia) delle misure. Per il trattamento di dati di maggiori dimensioni, più complesso e ad alto rischio, gli audit interni ed esterni sono metodi comuni di verifica. Anche il modo in cui vengono condotti gli audit può variare, da audit completi ad audit negativi (che possono a loro volta assumere forme diverse). Nel decidere come garantire l’efficacia delle misure, il Gruppo di lavoro articolo 29 suggerisce di utilizzare gli stessi criteri applicati per decidere le misure mutuati dall’articolo 17 della direttiva 95/46/CE, vale a dire, i rischi presentati dal trattamento e la natura dei dati. Pertanto, il modo in cui un responsabile del trattamento deve assicurare l’efficacia delle misure dipende dalla sensibilità dei dati, dalla quantità dei dati trattati e dai particolari rischi che il trattamento comporta.”
In questo contesto, tra le tipologie di verifica che principalmente rilevano, dobbiamo ricordare:
- l’autovalutazione degli adempimenti effettuati dal titolare/responsabile tramite strutture interne (audit/compliance) o esterne;
- la valutazione degli adempimenti effettuati dal DPO, anche per il tramite di strutture interne (audit/compliance) o esterne;
- la valutazione di un titolare sugli adempimenti contrattuali del responsabile;
- la valutazione di un titolare sugli adempimenti contrattuali del DPO;
- la valutazione di un titolare sui requisiti del DPO.
Quali sono i possibili oggetti della verifica in ambito privacy?
Le verifiche in ambito privacy sono caratterizzate dal dovere di controllare ambiti sia formalizzati, vale a dire per i quali la normativa indica nel dettaglio i requisiti attesi, sia non formalizzati, cioè ove la responsabilità della relativa concreta articolazione è in carico allo stesso titolare.
Quindi, a titolo di esempio, le verifiche possono avere ad oggetto:
- nei contesti formalizzati: informative, designazioni, basi giuridiche, etc.;
- in quelli non formalizzati: misure di sicurezza, modalità con cui sia stata effettuata l’analisi dei rischi, etc.;
Le verifiche possono riguardare anche temi specifici introdotti da provvedimenti che integrano la normativa primaria (ad esempio amministratori di sistema, videosorveglianza, firma grafometrica) nonché aspetti tecnico/organizzativi del trattamento (profilazione, tempi di conservazione, modalità di esercizio dei diritti, qualità dei dati).