GDPR e audit

Poniamo che le aziende siano in una situazione ideale e siano passate attraverso un corretto processo di adeguamento al GDPR, e poniamo che siano sensibili alla tematica di protezione dei dati personali, e poniamo una domanda fondamentale: bastano adeguamento e sensibilità? La risposta è no, per i motivi che si espongono subito sotto.

Per essere costantemente compliant alla normativa europea bisogna effettuare un monitoraggio costante i) dei processi aziendali, ii) della documentazione prodotta e iii) della formazione del personale. Tutto ciò può essere effettuata tramite un’attività di auditing da programmare secondo scadenze determinate dal tipo di realtà e di attività svolte dall’azienda.

Vediamo, quindi, quali sono i punti da cui partire per effettuare l’audit all’interno delle aziende:

  • scelta dell’auditor, scegliere il giusto professionista per l’attività è fondamentale in quanto bisogna identificare una figura che sia in grado di comprendere la normativa, abbia esperienza in adeguamento e monitoraggio dei processi aziendali e che sia in grado di gestire un team di competenze, tanto quanto avere il giusto istinto e capacità di ascolto per effettuare le interviste in azienda;
  • definire gli obiettivi dell’audit, cosa si vuole ottenere con l’audit? Verificare la conformità dell’azienda alla normativa europea (processi, documentazione, formazione personale), verificare l’adeguatezza delle azioni correttive poste in essere, verificare l’adeguatezza delle politiche aziendali di trattamento dati;
  • definire i criteri e procedure dell’audit, l’auditor può seguire le procedure secondo le procedure dettate da certificazioni internazionali (quali ISO) oppure stabilire delle procedure al fine di adattarle al meglio alla realtà aziendale;
  • giorno, luogo e tempistiche, lingua dell’audit;
  • lista di domande da utilizzare in fase di auditing.

Definiti tutti i punti di cui sopra, bisogna chiedersi quali sono le figure che devono partecipare all’audit. Come auditor devono partecipare il leader del team, oltre ai collaboratori, nonché eventuali società che si occupano di audit in merito alla sicurezza dell’infrastruttura informatica e fisica dell’azienda.

Le figure dell’azienda che devono partecipare, invece, sono almeno le seguenti:

  • DPO (se nominato);
  • Privacy specialist;
  • Head dei dipartimenti che trattano dati e risultano essere sensibili per l’azienda (HR, marketing, IT tra i molti);
  • Collaboratori hanno ricevuto lo specifico incarico di gestire i processi di trattamento dati in un dipartimento.

Effettuati l’audit come definito e intervistate tutte le persone di riferimento, bisogna analizzare la fase conclusiva dell’audit. Tale fase si conclude con un report finale volto a definire la conformità o meno dell’azienda alla normativa europea e, in caso di non conformità, definire le azioni e misure correttive da porre in essere e le tempistiche per effettuarle: in tal modo al successivo audit si potrà valutare l’idoneità delle menzionate azioni e misure e, eventualmente, procedere ad ulteriore modifica.

Vuoi innovare la tua azienda? Contattaci per una consulenza legal-tech:


    Cliccando sul pulsante "Invia Messaggio" si acconsente al trattamento dei dati personali come disposto dall'Informativa sulla Privacy

    Related Posts

    23

    Ott
    AB/blog, GDPR e Data Strategy

    Privacy e DPO: cosa fa e come sceglierlo

    La figura del Data Protection Officer (DPO), a volte chiamato impropriamente Data Privacy Officer e tradotto in italiano con Responsabile della Protezione dei dati personali (RPD), è la figura introdotta dal GDPR che si eleva a responsabile privacy nelle aziende e nelle pubbliche amministrazioni.   Quando nominare il responsabile privacy, o meglio il nostro DPO?   L’art.[…]

    19

    Ott
    AB/blog, Contrattualistica Legal Tech

    Legal tech: L’innovazione è nel rapporto tra technology e legal

    Il settore legale è stato fortemente rivoluzionato negli ultimi decenni dal cambio del mercato e dalla percezione del consulente legale, ma è negli ultimi anni che, grazie allo sviluppo delle nuove tecnologie, la consulenza legale ha visto il suo spostamento verso il legal-tech. Quando si parla di legal-tech bisogna pensare a due macro-argomenti: i) la consulenza legale[…]