Pianificazione ed esecuzione degli audit in ambito di protezione dei dati personali connessi al whistleblowing
Il Dlgs.24/2023 “Attuazione della direttiva (UE) 2019/1937 del Parlamento Europeo e del Consiglio, del 23 ottobre 2019, riguardante la protezione delle persone che segnalano violazioni del diritto dell'Unione e recante disposizioni riguardanti la protezione delle persone che segnalano violazioni delle disposizioni normative nazionali” ha impatto anche sulla protezione dei dati personali; il Decreto è pienamente in vigore ed è ora necessario pianificare ed effettuare, da parte del DPO e/o del Data Manager, le attività di audit relative agli adempimenti privacy strettamente connessi al Decreto.
In questo articolo si approfondiscono gli aspetti relativi alla pianificazione e gestione di tali audit; l’articolo non approfondisce i contenuti specifici del Decreto. Le indicazioni fornite, di taglio operativo, sono generali, e devono essere considerate in relazione al contesto in cui opera ogni organizzazione.
La pianificazione degli audit - Il DPO ha in carico la pianificazione degli audit, e, a seguito dell’introduzione del Decreto in esame, dovrebbe occuparsi anche degli audit che hanno come campo di applicazione dei processi afferenti al whistleblowing. Gli audit possono essere condotti dallo stesso DPO e/o dal Data Manager, purché in possesso di un’adeguata e dimostrata competenza, che non si esaurisce nella conoscenza della norma, ma deve comprendere anche le tecniche per l’esecuzione di tale attività.
Gli audit dovrebbero essere condotti già nel primo anno di attività e successivamente con una frequenza annuale o biennale, tenendo conto:
- delle prescrizioni cogenti previste dalla normativa vigente
- delle indicazioni delle linee guida delle Autorità Competenti (GPDP, ANAC) e delle associazioni di categoria (Confindustria, ecc.)
- del numero di segnalazioni ricevute nell’arco di tempo considerato;
- di eventuali criticità riscontrate nella gestione delle segnalazioni, anche di quelle emerse nel corso di audit precedenti.
Il programma e la preparazione della check list completano la fase di pianificazione dell’audit; a valle della verifica dovrà essere predisposto un rapporto e dato avvio ai trattamenti delle non conformità eventualmente emerse ed alle azioni correttive volte a rimuoverne la causa. La documentazione al termine sarà archiviata con accesso riservato. Tali misure dovrebbero essere allineate con la/le procedure interne relative al processo di audit, ed è auspicabile che tengano conto di quanto previsto dalla linea guida UNI EN ISO 19011:2018 “Linee guida per gli audit sui sistemi di gestione”.
I criteri e le evidenze - Le risultanze di audit si ottengono valutando le evidenze dell’audit – “registrazioni, dichiarazioni di fatti o altre informazioni, che sono pertinenti ai criteri di audit e verificabili” raccolte rispetto ai criteri dell’audit – “insieme di requisiti utilizzati come riferimento, rispetto ai quali si confrontano le evidenze oggettive” con (rispettivamente: definizioni 3.9 e 3.7 UNI EN ISO 19011:2018). Di seguito si propone una lista di criteri e di evidenze dell’audit, per quanto non tutti gli aspetti considerati siano applicabili in ogni contesto o siano espressamente richiesti dalla normativa. Inoltre, quanto proposto impatta solo sulla protezione dei dati e non indaga tutti i possibili aspetti relativi alla piattaforma/processo di segnalazione come richiede il D.lgs 24/2023.
I criteri di fase di audit, nel contesto considerato, possono essere rappresentati da:
- requisito legislativo D.lgs 24/2023;
- DPIA sul processo di gestione della segnalazione e non solo sulla piattaforma come spesso si riscontra;
- procedura interna per la gestione delle segnalazioni;
- istruzioni per il segnalante;
- eventuali istruzioni al facilitatore (persona fisica che assiste il segnalante nel processo di segnalazione, operante all’interno del medesimo contesto lavorativo e la cui assistenza deve rimanere riservata);
- registro dei trattamenti;
- modello di informativa per il segnalante, segnalato, persona coinvolta (quale testimone, persona citata, facilitatore);
- atto di designazione a responsabile per il fornitore della piattaforma e per altri eventuali altri soggetti coinvolti.
Per tali criteri, in fase di preparazione dell’audit e successivamente in campo, dovrebbero essere valutati: la completezza, la leggibilità, lo stato di aggiornamento e il rispetto delle procedure interne da parte dell’iter di gestione dei documenti.
Evidenziamo alcuni punti:
- la procedura interna per la gestione delle segnalazioni dovrebbe prevedere che le stesse possano pervenire attraverso più canali;
- le istruzioni rivolte al segnalante dovrebbero essere esaustive e fornire tutte le informazioni in merito al ciclo di vita di una segnalazione.
Le evidenze raccolte a fronte dei suddetti criteri possono riguardare:
- atto sottoscritto di designazione quale incaricato della gestione del canale interno, comprensivo dell’accordo di riservatezza e dell’attività di formazione;
- messa a disposizione dell’informativa/e per segnalante, segnalato, altre persone a qualunque titolo coinvolte nella segnalazione, facilitatore;
- richiesta di consenso al segnalante laddove prevista (registrazione di una trascrizione verbale, trasmissione dei dati del segnalante a terzi);
- criteri di qualifica del fornitore della piattaforma/servizio e di eventuali altri fornitori coinvolti nel processo (cloud) – fermo restando che la disponibilità di una piattaforma per la gestione delle segnalazioni non è requisito vincolante;
- riferimenti agli eventuali sub-responsabili nell’atto di designazione al/ai fornitore/i.
Tra gli elementi da valutare, in fase di audit, anche:
- congruenza tra i contenuti della DPIA ed il modello utilizzato per la gestione del processo di segnalazione;
- congruenza tra i contenuti del registro, l’informativa, la procedura per la gestione della segnalazione, le istruzioni, con quanto previsto dal D.lgs 24/2023 (ad esempio sui tempi di conservazione delle segnalazioni, idoneità della localizzazione dei dati riferibili alla segnalazione, modalità di comunicazione tra soggetti diversi coinvolti nella segnalazione);
- congruenza tra le misure previste dalla documentazione contrattuale e quelle applicate dalla piattaforma (es. doppia autenticazione, crittografia, ecc.);
- che la piattaforma disponga di una funzionalità che permetta la cancellazione/rimozione sicura dei dati in tempi congruenti con quelli definiti dal registro/informativa (segnalante/segnalato);
- che la piattaforma sia usabile anche da segnalanti recanti disabilità (es. ipovedenti);
- nel caso in cui il titolare sia parte di reti o gruppi di aziende, valutare il suo ruolo nel trattamento di eventuali altri soggetti (es. contitolarità, titolare-titolare, titolare-responsabile);
- nel caso in cui il titolare conservi i log della navigazione internet dalla propria rete, l'accesso alla pagina web della piattaforma di segnalazione dovrebbe essere escluso dalla registrazione dei log in modo che non sia possibile risalire a nessun dato di accesso;
- sia definita una modalità che garantisca che l’organizzazione cancelli i dati della segnalazione in modo pianificato e secondo la tempistica predefinita;
- ulteriori misure in relazione al contesto dell’organizzazione e considerando quanto riportato anche dalle linee guida di ANAC.
Ulteriori ambiti di indagine in fase di audit:
- laddove fosse stato sostituito il fornitore della piattaforma e/o il modello della piattaforma, valutare la gestione delle segnalazioni gestite utilizzando la versione precedente; da considerare anche il caso del passaggio da una soluzione acquistata ad una noleggiata, o viceversa;
- considerare se la piattaforma ha subito rilevanti modifiche a seguito di nuove indicazioni, ad esempio da parte di ANAC o da parte del fornitore;
- lo stesso se la piattaforma da soluzione stand-alone è convertita ad essere parte di un gestionale a cui è demandata la gestione di più processi.
Tali modifiche potrebbero comportare l’emissione di una nuova versione della DPIA, e/o l’aggiornamento di altra documentazione (ad esempio: procedura per la gestione, istruzioni, nomine di Responsabili)
Gestione della riservatezza delle informazioni in fase di audit - Il DPO non deve conoscere il contenuto della segnalazione, chi è il segnalato, il segnalante o i dati riferiti ad altri soggetti nel ruolo di testimoni, persone citate, facilitatori. Nel corso degli audit dovrebbe infatti mettere in atto tutte le misure richieste per tutelare tali informazioni, in quanto egli è interessato, in questa fase, al processo di gestione delle segnalazioni; il DPO, in relazione al ruolo ricoperto, è tenuto al segreto professionale, mentre il Data Manager, nel ruolo di autorizzato, si deve attenere a quanto indicato negli NDA da lui sottoscritti. Diverso è il caso, non oggetto di analisi in questo articolo, che la segnalazione riguardi un ambito relativo alla protezione dei dati personali.
Laddove non si trattasse del primo audit sul tema, nel corso della raccolta delle evidenze dovrebbero essere anche considerati i risultati a seguito degli audit precedenti, e, nel caso emergano criticità, è opportuno approfondire come le stesse siano state prese in carico, risolte, e rimosse in modo efficace le cause all’origine.
Infine, è da segnalare che quanto sin qui trattato non soddisfa o soddisfa solo in parte le misure che devono essere considerate da parte di un’organizzazione che effettua lo sviluppo per una fornitura diretta o come servizio SaaS di piattaforme da destinare alla clientela che deve ottemperare alla normativa.
Conclusioni - Il Dlgs 24/2023 presenta numerosi ambiti che impattano sulla protezione dei dati personali; è quindi utile, o addirittura necessario, che il DPO e/o il Data Manager pianifichino e svolgano attività di audit andando ad integrare il programma sulla base dei criteri introdotti dalla norma, al fine di garantire la corretta applicazione della normativa in materia di protezione dei dati personali.
a cura dell'Ing. Monica Perego, docente del Corso di alta formazione per Data Manager, con il contributo di Davide De Luca, CEO della Global Com Technologies