“Buongiorno. Sono il vostro DPO. Sono qui per un audit”. In questo pezzo apparso mesi fa abbiamo visto l’importanza centrale che i controlli rivestono nel ruolo del DPO (interno o esterno che sia) e quale obiettivi dare a questa attività. Dopo avere definito (e condiviso con il Titolare del trattamento) un piano di audit, e adeguatamente preparato il terreno con i diretti interlocutori, si tratta adesso di svolgere i controlli previsti.
Non è qui mia intenzione indicare strumenti o metodi formali per la conduzione dei controlli: esistono sul mercato metodologie consolidate e validissime associazioni professionali che ne sono custodi; vi consiglio di rivolgervi a loro per apprendere un approccio metodologico correttamente impostato.
Vorrei invece limitarmi a segnalare alcuni punti fondamentali da prendere in considerazione per essere certi di condurre un audit efficace.
Primo passo: predisporre una checklist
Per prima cosa va predisposta una checklist ad hoc. Abbiamo visto che il perimetro del controllo può essere trasversale (applicazione della normativa e delle procedure in ambiti generali quali aggiornamento registri, esercizio dei diritti degli interessati, gestione del data breach) oppure verticale su specifici processi aziendali, individuati fra quelli ove si realizzano i trattamenti di dati personali più rilevanti per ogni specifica realtà. La scelta dell’ambito influenzerà il taglio da dare alla checklist da adottare.
Nel caso di un audit trasversale si potrà costruire la lista dei controlli a partire dagli articoli del GDPR e da specifici provvedimenti del Garante, andando a verificare la presenza e la qualità delle procedure e della documentazione prevista. Attenzione: anche limitandoci (magari per la prima volta) ad un audit “di impianto” dobbiamo rifuggire dalla tentazione di ridurre il controllo alla verifica della mera disponibilità dei documenti ed alla loro completezza e correttezza: “avete l’informativa? ha tutto quello che ci deve stare? È aggiornata? È coerente con i registri?”. Dovrà essere nostra cura invece verificare il grado di consapevolezza che accompagna la documentazione disponibile (non solo sapere che c’è ma anche dov’è e a cosa serve). In termini di accountability, questo aspetto è fondamentale.
Particolarmente significativi si riveleranno i controlli verticali su aree specifiche, individuate sulla base dei rischi maggiori per gli interessati: ad esempio Marketing per le aziende più esposte verso il consumer (Telco, GDO), HR per il manufacturing B2B, Privacy by design per aziende innovative in termini di processo e/o di tecnologie. In questi casi la checklist sarà più opportunamente strutturata per aderire ai processi da monitorare. Ad esempio in ambito HR suggerisco di calare direttamente le verifiche all’interno dei diversi processi quali selezione, formazione, procedure di assunzione, gestione e amministrazione, procedimenti disciplinari e contenzioso, valutazione delle prestazioni e sviluppo professionale ecc.
Procedendo all’esecuzione, il caso più comune sarà la visita in presenza; in tal caso suggeriamo di preannunciare con sufficiente anticipo l’ambito (anche per consentire l’ingaggio degli interlocutori) e di inviare la lista della documentazione che sarà necessario consultare, con particolare attenzione alle informazioni contenute in archivi o sistemi (che potrebbero richiedere la presenza di personale tecnico in gradi di accedervi). Sconsigliamo invece di inviare preventivamente la checklist, che potrebbe essere fraintesa, in assenza delle dovute spiegazioni da parte dell’auditor, generando false aspettative o ingiustificati timori.
Solo in caso di realtà polverizzate e/o disperse sul territorio (magari europeo) il ricorso alla somministrazione di un questionario di self-assessment può essere preso in considerazione, possibilmente con il supporto di una spiegazione in call.
Secondo passo: raccogliere le informazioni necessarie
Come detto non intendo dare indicazioni sul metodo di raccolta delle informazioni. Vorrei invece richiamare l’attenzione sull’importanza di reperire evidenze specifiche documentate, da raccogliere passo-passo durante il controllo. Se stiamo verificando le modalità di creazione delle credenziali di accesso ai sistemi al momento dell’assunzione, dovremo estrarre l’elenco dei nuovi assunti (archiviare subito), poi se esiste una policy o procedura o prassi (archiviare), verificarne l’applicazione ad esempio vedendo il ticket o la mail che ha generato la richiesta (screenshot) e la sua conclusione (screenshot), poi entrare in active directory e nei sistemi applicativi e visualizzare il profilo (screenshot) ecc. Analogamente se stiamo verificando la gestione dei fornitori dovremo estrarre la lista di quelli che trattano dati personali (archiviare), selezionare esempi significativi, vedere i contratti e le nomine a Responsabile (archiviare), ecc.
Può sembrare tutto ovvio, ma quante volte vi sarà capitato di assistere alla precisa dimostrazione dei passaggi corretti, senza poi essere in grado di documentarli puntualmente in fase di report?
Rispetto a questa fase è bene notare che se negli audit trasversali assisteremo più ad una dinamica domanda-risposta, in quelli verticali invece potrebbe essere opportuno adottare un andamento del controllo più discorsivo (favorito dall’adozione di una checklist calata nei processi), aprendo con una domanda generale tipo “qual è la prassi per la selezione del personale? Quali canali utilizzate?” lasciando poi l’interlocutore raccontare lo svolgimento del processo. Beninteso, non li lasceremo parlare a ruota libera, li interromperemo ogni volta che una loro affermazione dovrà essere suffragata da un’evidenza, ma vi assicuro che in questo modo l’interlocutore sarà portato a fornirvi più elementi di quanti ne avreste raccolti solo con le vostre domande.
Terzo passo: procedere con l’analisi
L’analisi dei risultati, contestuale all’incontro e poi anche successiva, porterà alla redazione di un audit report. Prima regola: fatelo subito. Anche se avete preso appunti strutturati ed accurati, col passare del tempo farete fatica a restituire il senso preciso alle informazioni raccolte.
Il report conterrà la descrizione precisa del perimetro e degli obiettivi: se avete controllato la sede di Milano, e poi si presenta una verifica ispettiva dell’Autorità Garante nello stabilimento di Brescia, sarà importante sapere se tale sede era compresa o meno nel controllo. Seguirà una descrizione delle singole voci del controllo e delle relative risposte e/o evidenze, accompagnate da un giudizio di adeguatezza.
Ultimo passo: la rendicontazione
Particolare rilevanza assume il Remediation Plan, che dovrà segnalare quali sono le misure da adottare a fronte di ogni non conformità rilevata. Le misure potranno essere accompagnate da un ordine di priorità; a ciascuna dovrà comunque essere attribuito un termine temporale di adozione. Ovviamente i tempi più brevi non saranno necessariamente assegnati agli interventi più importanti, anzi spesso accadrà proprio il contrario: interventi non particolarmente significativi (ma leggeri) potranno essere realizzati subito, mentre interventi più rilevanti potranno richiedere tempi più lunghi, soprattutto se richiedono investimenti, l’implementazione di sistemi e/o coinvolgono soggetti terzi (es. fornitori). In ogni caso non limitatevi a segnalare l’importanza di una misura, definite un tempo ragionevole ma determinato per la sua adozione: solo così potrete mettere in campo e rendere efficace una azione fondamentale per il successo di un audit: il follow-up. Sarebbe infatti abbastanza inutile controllare un processo, verificare le non-conformità, indicare il piano di adeguamento e poi… sparire. Sarà invece previsto nel piano di audit (e nel relativo report) l’intervallo opportuno dopo il quale si effettuerà il primo follow-up (ed eventualmente anche i successivi).
Se poi consegnerete il report in forma di bozza, in modo da consentire alla funzione oggetto dell’audit di segnalare eventuali errori o fraintendimenti, oppure lo consegnerete già come definitivo, salvo lasciare al management la facoltà di commentare e/o di presentare documentazione aggiuntiva in sede di follow-up, dipenderà dalla metodologia che avrete adottato. Anche le modalità di presentazione del report possono variare dalla semplice consegna, a un incontro di condivisione con gli interlocutori sottoposti a controllo e le funzioni preposte alla governance della privacy (Comitato Data Protection, Privacy Officer). Il piano di remediation poi dovrà essere accettato o meno da parte del Titolare, che ha facoltà di individuare soluzioni alternative. In tal caso, in termini di accountability, sarà importante per l’azienda tenere traccia documentata delle motivazioni che hanno condotto alla scelta difforme da quanti indicato dal DPO. In caso di interventi particolarmente incisivi, che richiedano investimenti rilevanti e/o modifiche organizzative, potrebbe essere opportuno che della scelta sia investito il CdA o comunque il board, che potrebbe chiedere di confrontarsi direttamente con il DPO.
In conclusione di questo intervento voglio lasciarvi uno spunto: senza attendere il momento in cui riterrete di avere esaurito gli ambiti di controllo all’interno dell’organizzazione di cui siete DPO, pensate a pianificare controlli su alcuni Responsabili del Trattamento, scelti fra i fornitori che trattano in modo significativo dati personali per conto del Titolare. Il tema della supply chain e della sua affidabilità in termini di data protection è da ritenersi fondamentale ed assumerà sempre maggiore rilevanza, soprattutto in un contesto imprenditoriale come quello italiano che fa dell’impresa-rete e del ricorso a terzi una caratteristica dominante.
