Non essendo più necessario redigere e, soprattutto, aggiornare il DPS a cadenza annuale, le organizzazioni che trattano dati sensibili o giudiziari di persone fisiche (clienti e fornitori) dovranno comunque continuare ad osservare alcune regole che non dovranno più essere documentate nel DPS, tra cui:
- Nominare gli incaricati al trattamento dei dati personali (dipendenti o collaboratori);
- Nominare i responsabili esterni al trattamento di dati personali (ad es. consulenti del lavoro, commercialisti, avvocati, tecnici incaricati dell’assistenza sui sistemi informatici,…);
- Nominare gli Amministratori di Sistema e verificarne periodicamente l’operato;
- Attuare idonee misure di sicurezza per la protezione dei dati (controllo degli accessi ai sistemi informatici, impiego di antimalware e firewall, effettuazione di backup dei dati informatici, ecc.);
- Rispettare le regole per la videosorveglianza;
- Verificare almeno annualmente la sussistenza dei profili di autenticazione;
- Ecc.
In questo nuovo scenario chi farà la verifica dell’osservanza delle prescrizioni stabilite dal Garante della Privacy e dalle procedure interne che la legge pone in capo al Titolare del Trattamento o al Responsabile del Trattamento dei dati? E la verifica del comportamento degli Amministratori di Sistema?
Tali verifiche possono avvenire, in modo ottimale, attraverso un vero e proprio audit indipendente di un soggetto esterno – e quindi non coinvolto nella realtà aziendale – competente in materia.
L’audit sulla privacy dovrebbe basarsi sul controllo di informazioni contenute nel DPS e documenti interni che finora erano raccolti insieme al DPS stesso (elenco trattamenti dati personali, elenco incaricati al trattamento con relativi compiti e responsabilità, lettere di nomina incaricati e responsabili al trattamento, descrizione delle misure di protezione dei sistemi informatici, istruzioni al personale, ecc..), interviste al personale e verifica di attuazione delle misure di sicurezza delle informazioni, sia fisiche che logiche. Tale verifica deve per forza di cosa svolgersi attraverso un sopralluogo presso i luoghi dove vengono trattati dati personali (visione dei sistemi informatici e della loro ubicazione, verifica della disposizione di eventuali telecamere di videosorveglianza, archiviazione sicura dei documenti, ecc.).
Il risultato della verifica, per essere efficacemente preso in carico dai responsabili dell’organizzazione titolare del trattamento, deve essere documentato in un idoneo rapporto di audit che evidenzi le e ventuali carenze (vere e proprie non conformità rispetto alla legge), le osservazioni od opportunità di miglioramento dell’approccio alla sicurezza dei dati e le azioni correttive da intraprendere per soddisfare tutte le prescrizioni vigenti per la privacy. Tale rapporto potrà poi essere utilizzato nella verifica successiva per valutare l’efficacia delle azioni intraprese.