search
Il media che reinventa l'impresa
Registrare un software

Sulla strada della conformità con questo metodo di audit RGPD in 6 fasi

Sulla strada della conformità con questo metodo di audit RGPD in 6 fasi

Da Jennifer Montérémal

Il 27 ottobre 2024

Dal 2016, la stragrande maggioranza delle imprese e delle organizzazioni dell'UE è soggetta al Regolamento generale sulla protezione dei dati, meglio noto come GDPR.

Questo obbligo ha permesso agli enti interessati di mettere in discussione il modo in cui raccolgono e trattano i dati personali delle persone, anche se internet ne ha reso più complessa e moltiplicata la circolazione.

Ma soprattutto, i professionisti hanno dovuto integrare nuovi processi nel loro lavoro quotidiano per garantire la conformità, a partire dall' audit del RGPD.

Cosa comporta e come si svolge? E su quale aiuto (umano o software) si può contare?

Date un'occhiata al nostro esempio di audit RGPD 🔎.

Che cos'è un audit RGPD?

Definizione di audit RGPD

Come promemoria, il RGPD ( Regolamento generale sulla protezione dei dati) è entrato in vigore con l'obiettivo di regolamentare, su scala europea, la raccolta, il trattamento e la gestione dei dati personali.

Riguarda :

  • qualsiasi entità (società, ente governativo, associazione no-profit, ecc.) con sede nell'UE,
  • qualsiasi entità situata al di fuori dell'UE ma che tratta informazioni di persone residenti nell'Unione Europea,
  • subappaltatori e fornitori di servizi che trattano dati per conto di altre organizzazioni.

Il RGPD richiede l'attuazione di vari processi (ottenimento del consenso esplicito, applicazione del diritto all'informazione, ecc.) Ma la conformità comporta necessariamente la verifica, a un certo punto, della situazione dell'entità in termini di conformità agli obblighi.

👉 È qui che entra in gioco l' audit del RGPD.

Tuttavia, esistono due tipi di audit:

  • l' audit iniziale, effettuato all'inizio dell'implementazione delle operazioni di conformità,
  • l' audit di follow-up, effettuato periodicamente, poiché la conformità al RGPD fa parte di un processo continuo.

🤓 Per saperne di più sull'argomento, consultate il nostro articolo dedicato alle 6 fasi chiave e ai 3 strumenti per implementare la conformità al RGPD.

I diversi tipi di diagnosi

Per identificare le lacune e guidare le misure correttive necessarie per la conformità, vengono effettuate diverse diagnosi, sia durante l'audit iniziale che durante gli audit di follow-up.

👉 Le principali sono :

  • diagnosi del sistema informativo e dei vari strumenti (software, ad esempio) presenti nell'organizzazione,
  • Diagnosi del processo di raccolta dei dati personali e di gestione del consenso,
  • diagnosi del trattamento di questi dati (come vengono utilizzati e per quali scopi?),
  • un audit di sicurezza, volto in particolare a proteggere i dati da violazioni e accessi non autorizzati.

Perché effettuare un audit RGPD?

Ci sono molte ragioni per effettuare un audit RGPD, tra cui le seguenti:

  • fare il punto sulla vostra situazione attuale. Ciò vi consentirà di individuare eventuali lacune tra ciò che accade effettivamente e ciò che dovete fare, in modo da sapere quali attività devono essere svolte per garantire la conformità al RGPD;
  • mappare i dati della vostra azienda e capire come vengono elaborati, in modo da poterli gestire più efficacemente;
  • anticipare i rischi potenziali e mettere in atto le misure correttive appropriate.

In definitiva, l'audit RGPD porta all'attuazione di un piano d'azione, a sua volta suddiviso in una tabella di marcia.

💡 Attenzione: se da un lato l'audit è un esercizio legale (attenzione alle sanzioni in caso di mancata conformità!), dall'altro non dimentichiamo che il controllo dei dati e la trasparenza contribuiscono a mantenere la reputazione dell'organizzazione. Soprattutto in un momento in cui il pubblico è più attento all'uso dei propri dati personali!

Come si effettua un audit RGPD corretto? I 6 passaggi chiave

Fase 1: verifica della raccolta dei dati personali

Iniziamo con uno dei principali aspetti regolamentati dal RGPD: il modo in cui vengono raccolti i dati personali.

In questa fase è necessario

  • stilare un elenco di tutte le fonti e i metodi di raccolta utilizzati, ad esempio moduli web, cookie, ecc,
  • verificare se la raccolta è legittima, ossia se rientra nel quadro giuridico previsto dall'articolo 6 del GDPR:
    • tramite consenso,
    • da una misura contrattuale
    • per adempimento di un obbligo legale,
    • se il trattamento è necessario per la salvaguardia degli interessi,
    • se il trattamento è necessario per l'esecuzione di un compito svolto nel pubblico interesse o nell'esercizio di pubblici poteri,
    • se il trattamento è necessario ai fini dei legittimi interessi perseguiti dal titolare del trattamento o da un terzo.

☝️ Tuttavia, le aziende sono principalmente interessate alla questione del consenso che, secondo la CNIL, deve essere :

  • libero, cioè non costretto o influenzato
  • specifico, dedicato a un determinato scopo
  • informato, il che implica che gli utenti di Internet devono essere pienamente informati,
  • inequivocabile, senza lasciare spazio ad ambiguità.

Fase 2: Audit del sistema informativo

In questa fase è necessario fare il punto su tutti gli strumenti e i sistemi del sistema informativo che utilizzano i dati in un modo o nell'altro. Ad esempio, il software.

Quindi determinare il comportamento di questi dati all'interno del sistema informativo e, più precisamente

  • che tipo di dati sono
  • dove vengono memorizzati
  • come circolano, sia all'interno che all'esterno dell'azienda.

In questa fase, vi consigliamo di mappare il vostro sistema informativo, per documentare le informazioni relative ai dati scambiati all'interno della struttura, ma anche i flussi associati.

💡 Buono a sapersi: semplificate il vostro lavoro utilizzando un Single Data Repository, che centralizza tutti i dati relativi ai vostri clienti, prodotti o altre entità.

Fase 3: verifica dell'elaborazione dei dati

Ora è il momento di capire come vengono utilizzati i dati. A tal fine è necessario porsi due domande:

  • Come vengono effettivamente utilizzati?
  • E per quali scopi?

Il fatto che il RGPD richieda la tenuta di un registro del trattamento dei dati facilita questa analisi. Ai sensi dell'articolo 30, questo documento deve contenere le seguenti informazioni:

  • le finalità del trattamento
  • una descrizione delle categorie di interessati e delle categorie di dati personali,
  • le categorie di destinatari a cui i dati sono stati o saranno comunicati,
  • se del caso, i trasferimenti di tali dati a un paese terzo o a un'organizzazione internazionale,
  • le scadenze previste per la cancellazione delle varie categorie di dati,
  • una descrizione generale delle misure di sicurezza tecniche e organizzative adottate.

Buono a sapersi: l'audit del trattamento è anche un'occasione perfetta per identificare i dati non utilizzati dall'azienda e quindi "fare un po' di pulizia", in linea con la filosofia del RGPD.

Fase 4: audit della sicurezza

Paragonabile a un audit tecnico, questa fase consiste nel verificare che i dati conservati in azienda siano perfettamente protetti.

Ci sono diversi punti che attireranno la vostra attenzione. Ad esempio

  • le misure di sicurezza di base adottate (antivirus, firewall, rilevamento delle intrusioni, ecc.) su tutti gli asset, siano essi hardware, software, rete, ecc,
  • un'adeguata gestione dei diritti di accesso e delle autorizzazioni, per garantire che solo le persone autorizzate abbiano accesso a determinate informazioni,
  • corretta gestione delle password, in particolare attraverso l'adozione di una politica dedicata,
  • crittografia dei dati,
  • back-up regolari, essenziali per garantire la continuità aziendale in caso di perdita di dati,
  • la sensibilizzazione e la formazione dei dipendenti sulla protezione delle informazioni personali e sulla sicurezza informatica in generale.

💡 Nota: questa parte della diagnosi è generalmente accompagnata da test di intrusione e da un'analisi approfondita delle procedure in atto in caso di fuga di dati.

Fase 5: stesura del rapporto di audit RGPD e attuazione del piano d'azione

Al termine dell'audit, dovrete redigere un rapporto che elenchi i punti conformi e quelli non conformi. In questo modo, potrete individuare eventuali discrepanze tra ciò che la normativa si aspetta da voi e la realtà.

Naturalmente, è importante mettere in atto un piano d'azione (e seguirlo!) per poter tornare rapidamente in carreggiata.

Questo piano d'azione comprende le seguenti informazioni:

  • la natura del lavoro da intraprendere per rimediare alle carenze individuate durante l'audit,
  • l' ordine di priorità di questi progetti in base alla gravità delle carenze e al loro impatto potenziale rispetto al RGPD,
  • le risorse umane da mobilitare per questo progetto, con l'indicazione dei ruoli e delle responsabilità di ciascuna persona,
  • la tabella di marcia, con le varie fasi, le scadenze, le tappe, ecc.

Fase 6: Effettuare verifiche periodiche del RGPD

Se questo è il vostro primo audit RGPD e pensavate di esservi fermati qui... cattive notizie: avete a che fare con un processo continuo!

Mantenere la conformità a lungo termine significa effettuare diagnosi regolari. Anche se la frequenza dipende ovviamente da molti fattori, come le dimensioni della vostra organizzazione, la sua complessità o i cambiamenti nel vostro mercato, svolgere questo lavoro almeno una volta all'anno sembra un buon inizio.

💡 Buono a sapersi: nel frattempo, assicuratevi che tutte le buone pratiche che sono state messe in atto (sulla raccolta del consenso, ad esempio) siano mantenute all'interno dell'azienda. Da qui l'importanza di una formazione completa dei team coinvolti in queste tematiche.

Gestire l'audit RGPD: in-house o in outsourcing?

Poiché l'audit RGPD richiede competenze tecniche e legali, alcune aziende decidono di ricorrere a professionisti esterni, come DPO (Data Protection Officer) o esperti legali.

Tuttavia, delegare gli audit RGPD in questo modo genera costi aggiuntivi e molte organizzazioni decidono di svolgere tutte le operazioni internamente. Tanto più che questo lavoro è facilitato dall'emergere di software specializzati nel settore, non solo rivolti ai grandi gruppi.

Witik, ad esempio, gestisce tutti i processi associati alla conformità al RGPD per le PMI e le ETI. Supporta quindi i professionisti nello svolgimento dei loro audit, attraverso programmi personalizzabili e completi (valutazione dei vari sistemi e supporti, dei vostri subappaltatori, ecc.) Il software gestisce anche il piano d'azione per la conformità e la formazione del team.

Cosa posso imparare dall'audit RGPD?

Avete appena letto un esempio di metodologia per svolgere l' audit di conformità al RGPD nella forma corretta, assicurandovi di non dimenticare nessuna diagnosi: diagnosi della raccolta dei dati personali, diagnosi del sistema informativo, diagnosi del trattamento dei dati e diagnosi della sicurezza.

Sebbene la procedura non sembri eccessivamente complicata, richiede rigore... e una discreta quantità di banda! Per questo motivo vi suggeriamo di automatizzare il più possibile queste operazioni, il che significa inevitabilmente utilizzare software specifici.

Grazie a queste tecnologie, potrete risparmiare tempo sui vostri processi RGPD... tempo che potrete dedicare, ad esempio, alla formazione del vostro personale, pilastro della vostra compliance.

Articolo tradotto dal francese