Le aziende che gestiscono archivi elettronici e dati personali devono fare i conti con le nuove norme Privacy entrate in vigore con il Regolamento europeo per il trattamento dati personali e in applicazione da maggio 2018. L’Audit Privacy per molte aziende italiane è una grande lacuna. In questo articolo cerchiamo di fare chiarezza anche su questo importante aspetto della gestione Privacy.
L’Audit Privacy è una valutazione dei processi aziendali sul grado di rispetto della normativa vigente. Si può paragonare a un check up perché va fatto da un esperto indipendente, l’auditor, che potremmo paragonare al medico.
In caso di patologie, ovvero di riscontro di qualcosa che va perfezionato in azienda sul fronte della raccolta e trattamento dati, il medico-auditor (che deve essere un esperto di data protection sia a livello giuridico che informatico) prescrive le “cure” del caso.
L’audit dal punto di vista pratico consiste in una intervista al titolare del trattamento dati in azienda, che si svolge periodicamente. Le domande sono dirette a conoscere in che modo i dati vengono raccolti e trattati: alle aziende viene chiesto per esempio se esistono già dei sistemi di sicurezza attivi volti a proteggere i dati conservati, dei sistemi di backup, firewall, antispam.
Attenzione: l’audit e il regolamento GDPR non riguarda solo gli archivi digitali, ma anche quelli cartacei!
L’audit non dovrà trascurare anche questo aspetto, situazione frequente nella Pubblica Amministrazione e nelle cliniche, dove sono conservati dati sanitari e quindi, sensibili.
Per capire quanto sia importante l’Audit Privacy facciamo un passo indietro per focalizzare meglio il quadro d’insieme. Il ruolo del esponsabile della protezione dei dati (il privacy officer)nel nuovo Regolamento europeo ha un ruolo proattivo. È sua responsabilità la gestione dei dati aziendale: dalla prevenzione del rischio di violazioni (per evitare sanzioni), fino alla gestione delle eventuali violazioni.
In altre parole, la norma europea implica per le aziende italiane un ribaltamento della mentalità normativa per come era vista sino ad oggi: da obbligo a processo aziendale.
Il primo passo per mettersi a norma, dunque, è l’Audit, con lo scopo di: