Audit dei responsabili del trattamento: un passo cruciale per la gestione dei dati conforme al GDPR
Nel contesto della crescente attenzione verso la protezione dei dati personali, la scelta di un Responsabile del Trattamento competente è diventata una priorità per molte organizzazioni. Infatti, il Titolare del Trattamento deve ricorrere, ai sensi dell’articolo 28 del Regolamento UE 679/2016 (GDPR), a Responsabili del Trattamento che “presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato”. Per tale motivo, è importante che il Titolare scelga in modo accurato i soggetti che trattano dati personali per suo conto e controlli che le attività condotte dai Responsabili siano svolte in modo corretto e in conformità alle indicazioni che il Titolare medesimo fornisce loro.
(Nella foto: l'Ing. Gianluca Lombardi, CEO di GL Consulting, sarà speaker al Privacy Day Forum 2024)
Tuttavia, la nomina di un Responsabile del Trattamento è condizione necessaria ma non sufficiente a garantire una gestione appropriata del fornitore in ambito GDPR. E’ essenziale che la scelta formale dei Responsabili sia accompagnata da un rigoroso audit sul Responsabile del Trattamento. In questo modo, il Titolare può verificare con diligenza la veridicità delle dichiarazioni a lui rilasciate dai suoi Responsabili, con riferimento alle modalità di Trattamento da loro seguite in ottemperanza alle istruzioni ricevute. In caso contrario, al Titolare è possibile contestare, in modo progressivo, una culpa in eligendo (per aver mancato ad una valutazione iniziale) e una culpa in vigilando (per non aver tenuto sotto controllo nel tempo il fornitore).
Infatti, tra gli obblighi del Responsabile, l’art. 28, par. 3, lett. h) GDPR prevede l’obbligo di mettere “a disposizione del Titolare del Trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi […] e consenta e contribuisca alle attività di revisione, comprese le ispezioni, realizzati dal titolare del trattamento o da un altro soggetto da questi incaricato”.
Da ciò si evince la possibilità per il Titolare di effettuare controlli e audit nei confronti del Responsabile, che serviranno a verificare l’operato dello stesso ed a comprendere al meglio le misure di sicurezza tecniche e organizzative adottate dal Responsabile.
Tali audit sono fondamentali in un’ottica di accountability (art. 5, par. 2, GDPR), in quanto consentono al Titolare di dimostrare di aver controllato e di controllare tutti i soggetti che trattano dati personali per suo conto, e, ove necessario, permettono al Titolare medesimo di fornire idonee istruzioni laddove rilevi alcune criticità nel corso dell’audit.
La domanda chiave che molte Organizzazioni si pongono è “quando e come condurre l’audit?”.
Gli audit devono essere condotti dal Titolare, anche per mezzo del Data Protection Officer (DPO) - ove presente – ovvero di un soggetto opportunamente incaricato o eventualmente terzo-esterno all’azienda. In alcuni casi è possibile che il Titolare decida di ricorrere all’audit prima di stipulare il contratto, verificando anticipatamente le modalità di lavoro del Responsabile al fine di scegliere il fornitore più idoneo e che offra maggiori garanzie con riguardo ai trattamenti di dati personali che sarà chiamato a svolgere.
A titolo esemplificativo, alcune questioni specifiche da approfondire nel corso degli audit sul Responsabile sono: l’individuazione, la nomina e la formazione di figure con incarichi particolari; la predisposizione e l’utilizzo di un’adeguata documentazione privacy (registro dei trattamenti, lettere di nomina, procedure, informative); le misure di sicurezza applicate sui dati trattati in formato digitale e cartaceo oppure il monitoraggio dei sistemi in cloud.
Conclusioni - Alla luce di quanto detto in questo articolo, possiamo concludere affermando che è fondamentale che il Titolare dimostri di aderire al principio di accountability anche attraverso una corretta gestione dei rapporti con i propri Responsabili del Trattamento. Questo deve avvenire non solo attraverso la nomina formale dei soggetti individuati nel ruolo ma anche mediante lo svolgimento di attività di auditing approfondite.