Il DPO e l'attività di audit sul Decreto Trasparenza
Il Decreto Trasparenza (Dlgs 104/2022) recentemente introdotto coinvolge in modo significativo, come già noto e trattato, tematiche relative alla protezione dei dati. In questo articolo si desidera approfondire un aspetto peculiare ma trascurato: la tematica dell'audit che si può pianificare e condurre a fronte di tale criterio.
Pianificazione dell’audit a fronte del Decreto trasparenza - Nell'ambito delle attività a carico del Data Protection Officer, come specifica l’art. 39 del Regolamento UE 2016/679, vi è l'attività di audit. Tale attività è anche richiamata come compito in carico al Titolare come recita, sia pure in modo non esplicito, l’art. 32 1d).
È già stata ampiamente discussa l’importanza dell’audit al fine monitorare, sia pure attraverso tecniche a campione, l'efficacia delle misure applicate, che caratterizzano l'attività di audit, la quale contempla la presenza di un "criterio", ovvero delle regole di cui, durante la fase di audit, deve esserne verificato il rispetto.
Con l'introduzione del Dlgs. 104 si raccomanda al Titolare/DPO di effettuare un audit considerando tale “criterio”. Dato che il Decreto è stato pubblicato nell'agosto del 2022, l’audit può essere pianificato nella seconda parte dell'anno, ovvero da gennaio 2023. A sua volta potrebbe essere parte di un audit complessivo, oppure essere organizzato come audit "mirato".
Le funzioni coinvolte in tale audit , variano da organizzazione ad organizzazione secondo il contesto, ma di norma possono essere riconducibili a: risorse umane, ICT, facility.
(Nella foto: l'Ing. Monica Perego, relatrice al Webinar 'Il Decreto Trasparenza e le implicazioni sulla protezione dei dati personali')
Analisi documentale - In fase di preparazione dell’audit dovrebbe essere verificato che:
- la procedura privacy by design sia stata aggiornata prevedendo che il Titolare o un suo delegato verifichi, prima di introdurre o modificare un trattamento, se esso rientra nelle casistiche contemplate dal Decreto e, se del caso, attivare misure previste;
- la procedura sul diritto di accesso, che nella versione aggiornata, garantisca che i lavoratori abbiano accesso alle informazioni che li riguardano - direttamente o tramite le rappresentanze sindacali aziendali o territoriali – e che sia prevista obbligatoriamente una risposta scritta entro 30 giorni dalla loro richiesta.
L'esecuzione dell’audit - Nel corso dell’audit deve essere verificato:
- che siano stati censiti, laddove presenti, dispositivi che presentano, come recita il Decreto, "sistemi decisionali automatizzati";
- nei casi in cui tali sistemi siano presenti deve essere verificato che essi siano stati considerati nell’informativa, nel registro dei trattamenti e l’analisi dei rischi, ne sia stata predisposta una DPIA (con esito favorevole a dare avvio al trattamento) e che l'informativa sia stata trasmessa alle organizzazioni sindacali, come prevede il Decreto (sindacali aziendali - rappresentanza sindacale unitaria; in assenza delle predette, alle sedi territoriali delle associazioni sindacali comparativamente più rappresentative sul piano nazionale);
- la presenza di altri dispositivi, con le caratteristiche indicate dal Decreto, che non siano stati correttamente individuati e censiti;
- se dispositivi che presentano le caratteristiche definite siano in fase di introduzione, nel qual caso procedere con le misure previste dal Decreto;
- l’erogazione di adeguata attività di formazione agli autorizzati coinvolti nei trattamenti di cui ai punti precedenti;
- la conservazione delle informazioni – compresa la prova della loro trasmissione e ricezione per cinque anni dopo la conclusione del rapporto di lavoro, unitamente ad un modello organizzativo che garantisca tale modalità e permetta ai lavoratori l’accesso a tali informazioni (vedi procedura gestione dei diritti) così come, qualora richiesto, al Ministero del Lavoro e delle politiche sociali e all’Ispettorato del Lavoro.
All'auditor viene richiesto di individuare anche la presenza di sistemi decisionali che non permettono una "decisione automatizzata”; per questa tipologia di trattamenti non si applica quanto previsto dal Decreto.
Ad esempio; un sistema rileva un accesso in orario anomalo di un lavoratore ai sistemi informatici, e invia una segnalazione all'ufficio IT affinché possa valutare un approfondimento: questo è, sì, un sistema "automatizzato", ma non presenta la caratteristica di essere "decisionale".
Tale caratteristica la presenterebbe un sistema che, rilevando la stessa anomalia in "automatico”, decidesse di bloccare l'accesso al lavoratore, fino a quando non vengano svolte le verifiche da parte dell'ufficio IT.
Questo secondo caso presenta la caratteristica della “decisione automatizzata” ovvero: il sistema, senza alcun intervento umano, procede nell'effettuare un'azione che ha un impatto diretto sul lavoratore.
Durante l'audit è quindi necessario verificare che i sistemi in oggetto presentino tali caratteristiche; per quanto durante l'audit potrebbe emergere la presenza di sistemi "automatizzati” - “non decisionali" che non sono stati precedentemente censiti. Tali sistemi devono essere comunque trattati in conformità alla normativa sulla protezione dei dati.
Se l'organizzazione valutasse, anche per tali sistemi, di applicare le misure previste dal Decreto trasparenza, si orienterebbe nella direzione di favorire un rapporto ancor più trasparente con i propri lavoratori.
Anche per i nuovi trattamenti bisogna valutare, durante l’audit, la corretta applicazione della procedura privacy by design precedentemente richiamata.
In fase di audit deve essere poi verificata che l’auditato sia a conoscenza dei documenti emessi come ad esempio la Circolare n. 19 del 20 settembre 2022 del Ministero del Lavoro e delle Politiche sociali.
Gli eventuali rilievi che possono emergere nel corso dell’audit devono essere formalizzati sotto forma di Non Conformità od Osservazioni, come indicato negli esempi che seguono:
- Non Conformità: per il trattamento relativo a XY che si caratterizza per sistema decisionale automatizzato non è stata effettuata la DPIA come previsto dal D.lgs. 104/2022
- Osservazione: si raccomanda, a fronte della DPIA datata 20.09.2022 predisposta per il trattamento XY come previsto dal D.lgs. 104/2022, di scadenzare ad intervalli la verifica della correttezza e dell’attualità di quanto indicato nel documento.
Nel caso esposto di Non Conformità si segnala una duplice criticità: non solo non è stata effettuata una DPIA come previsto dal Decreto Trasparenza, ma non è stata effettuata una DPIA prima di un trattamento come prevede l'articolo 35 del GDPR.
Rapporto di audit - Nel rapporto di audit vanno riportati, tra gli altri contenuti:
- le evidenze riscontrate o il riferimento al documento (check list) che le contiene;
- eventuali rilievi sotto forma di Non Conformità od Osservazioni.
Il rapporto segue l'iter previsto per i rapporti di audit, ovvero la trasmissione al titolare del trattamento, al DPO e alle funzioni coinvolte nei rilievi formulati. Nella relazione che annualmente il DPO predispone per i vertici aziendali viene citato il rapporto ed indicate le risultanze emerse durante l’audit.
Conclusione - Le modifiche introdotte con il D.lgs. 104/2022 implicano non solo la valutazione di casi specifici, ma anche l’esigenza di una loro verifica costante. L’audit deve essere pianificato con regolarità, così come previsto per gli altri criteri (ad es. per il Provvedimento in materia di videosorveglianza e videoregistrazione).
Ancora una volta quindi, i può apprezzare come l’audit si presenti, per un’organizzazione, come un’opportunità di miglioramento e di crescita constante.
Nota: si ringrazia per gli spunti forniti Daniela Basagni e Greta Berdicchia.
Per approfondimenti sul Decreto Trasparenza, vedasi anche gli articoli:
- "Decreto Trasparenza: impatti sulla privacy dei lavoratori e ricadute operative per imprese e DPO"
- Sistemi automatizzati e privacy, lavoratori più tutelati con il 'Decreto Trasparenza'
- Decreto Trasparenza: sistemi automatizzati, l’informativa va delimitata