Il servizio offre una serie di attività volte alla verifica e all’analisi in materia di Data Protection per la valutazione del grado di conformità della propria organizzazione alla futura normativa privacy (Regolamento UE 2016/679), noto come GDPR “General Data Protection Regulation”.
Chi è interessato e quando è necessaria
Sia il Decreto Legislativo n. 196 del 2003, meglio conosciuto come Codice della Privacy, che appunto il Regolamento Europeo sulla protezione dei dati personali n. 679/2016, meglio conosciuto come GDPR, all’art. 1 recitano rispettivamente: “Chiunque ha diritto alla protezione dei dati personali che lo riguardano” – “Il presente Regolamento protegge i diritti e le libertà fondamentali delle persone fisiche, in particolare il diritto alla protezione dei dati personali”. Qualsiasi Azienda e Pubblica Amministrazione (PA) che tratta dati personali, dunque, deve tutelare questo diritto, riconosciuto dalla Carta dei Diritti Fondamentali dell’Unione Europea come “diritto fondamentale per l’individuo”.
L’attuale normativa sulla Privacy, così come il Nuovo Regolamento Europeo Privacy, prevedono che vengano rispettati particolari adempimenti da parte di soggetti che trattano dati personali e non porre la giusta attenzione su questo importante aspetto – con specifiche attività di salvaguardia – può far incorrere il Titolare o il Responsabile del trattamento dei dati in violazioni della normativa della Privacy, mettendolo a rischio di sanzioni (amministrative, penali e, in taluni casi, al risarcimento del danno all’interessato). Sia il D. Lgs 196/03 che il GDPR 679/2016 prescrivono infatti l’obbligo di adottare le misure minime di sicurezza.
La verifica è composta dalle seguenti fasi, finalizzate allo studio della situazione pre-esistente all’interno di un’organizzazione e al suo successivo adeguamento al Regolamento:
– Analisi documentale pre-audit, verifica della documentazione redatta in possesso e in uso dell’Organizzazione;
– Analisi dell’organizzazione di lavoro, dei relativi processi e procedure, del sistema informativo(e relativo flusso dei dati), delle aree e dei locali nei quali sono custoditi e trattati i dati, analisi dei dati trattati (cartacei e digitali) con relativa identificazione, della loro modalità di archiviazione e trattamento, delle finalità del trattamento e delle relative misure di sicurezza adottate, nonchè dei rischi che incombono sui dati stessi;
– Analisi del sistema informatico e dei relativi dispositivi di sicurezza, in collaborazione con i Responsabili IT/Amministratori di Sistema (se presenti), attraverso un’attività di consulenza tecnico-sistemistica.
Obiettivi delle suddette attività
– Permettere al Management di evidenziare situazioni critiche o prassi errate nel trattamento dei dati personali;
– Permettere al Management di valutare correttamente eventuali investimenti in misure di sicurezza (minime o idonee);
– Fornire la prova di una costante verifica di conformità in merito al trattamento dei dati;
Al termine delle attività di verifica, viene redatta una documentazione specifica, che evidenzia il livello di conformità e il grado di rischio a cui l’Organizzazione è esposta:
RAPPORTO DI COMPLIANCE
Tale documento fornisce una registrazione completa e accurata dell’attività di controllo e comprende i riferimenti agli obbiettivi dell’audit, il suo campo di applicazione (identificando le unità organizzative e funzionali o i processi sottoposti ad audit), identificazione del committente dell’audit, identificazione del gruppo di audit e dei partecipanti all’audit dell’organizzazione oggetto della verifica, le date e i siti dove sono state condotte le attività di audit, i criteri della verifica, le risultanze dell’audit e le relative evidenze, le conclusioni dell’attività di verifica e una dichiarazione sul grado i cui criteri di audit sono stati soddisfatti.
Il rapporto di audit può anche includere altri riferimenti appropriati.