fbpx
Ultime Notizie
Archivio
4 min

Privacy, come funziona l’attività di audit e come viene regolata?

L’attività di audit consiste in una valutazione indipendente, effettuata per verificare se l’operato del Responsabile del trattamento è in linea con quanto richiesto dalla normativa.

L’audit è uno degli strumenti in capo al Titolare del trattamento per verificare l’operato del Responsabile. Il diritto a poter esercitare attività di audit nei confronti del Responsabile viene definito all’interno dell’atto di designazione, ossia un documento con il quale il Titolare nomina un Responsabile e precede la sottoscrizione del contratto di servizio.

Il diritto di accesso alle informazioni: in cosa consiste

L’accesso alle informazioni è uno dei diritti in capo al Titolare del trattamento e compreso nell’atto di designazione. Stando alla normativa attuale, il Responsabile del trattamento ha l’obbligo di comunicare al Titolare tutte le informazioni richieste e che riguardano: le operazioni di trattamento, i rischi e le misure di mitigazione intraprese dal Responsabile, in relazione sia ai trattamenti effettuati che ai documenti riguardanti il “Contratto/Atto di designazione”, nonché le polizze assicurative.

Oltre alle informazioni richieste, il Responsabile dovrà comunicare spontaneamente al Titolare, entro max 24 ore dall’avvenuta conoscenza, informazioni relative a: 

·      richieste di ispezioni da parte del Garante o di soggetti da questo delegati, riguardo ai trattamenti eseguiti per conto del Titolare ed i relativi verbali; 

·      richieste di ispezioni da parte delle Autorità Giudiziarie e/o Organi di vigilanza, riguardo ai trattamenti eseguiti per conto del Titolare ed i relativi verbali; 

·      richieste di informazioni da parte del Garante o delle Autorità Giudiziarie e/o Organi di vigilanza; 

·      contestazioni o reclami da parte di interessati al trattamento o soggetti terzi comunque coinvolti nelle attività di trattamento; 

·      attività che coinvolgono i Sub-Responsabili designati dal Responsabile, come ad esempio verbali di audit che il Responsabile effettua sui trattamenti svolti da Sub-reponsabile; 

·      ogni altra informazione che impatta sui dati che il Responsabile tratta per conto del Titolare e sulle misure tecniche e organizzative che mette in campo.

L’attività di audit

La figura incaricata per l’attività di audit può essere un soggetto interno o esterno all’azienda. Essa potrà richiedere l’accesso alla documentazione relativa al trattamento dei dati da parte del Responsabile. Le attività di audit vanno comunicate con un preavviso minimo di 5 giorni lavorativi, e di 3 giorni nel caso di data breach. Entro 3 giorni dalla data dell’audit, o un giorno nel caso di data breach, il Responsabile del team di audit invierà il piano di audit.

Al termine, il Responsabile del team invierà un rapporto contenente i risultati dell’attività di audit. La valutazione viene effettuata in termini di conformità/non conformità. Le eventuali non conformità dovranno essere trattate dal Responsabile nei tempi indicati, pena la sospensione delle attività o la risoluzione del contratto. Oltre al trattamento delle non conformità, il Responsabile dovrà definire le azioni correttive necessarie per rimuovere all’origine le non conformità. Le azioni per trattare le non conformità e le azioni correttive devono essere approvate dal Titolare e saranno oggetto di successivi audit o di richiesta di documentazione/integrazione.

Performance vector created by rawpixel.com – www.freepik.com