Mais conteúdo relacionado Semelhante a Gli audit in ambito privacy (20) Mais de CSI Piemonte (20) Gli audit in ambito privacy2. © Giancarlo Butti - Audit in ambito privacy
Ha acquisito un master in Gestione aziendale e Sviluppo Organizzativo
presso il MIP Politecnico di Milano. Si occupa di ICT, organizzazione e
normativa dai primi anni 80. Auditor, security manager ed esperto di
privacy. Affianca all’attività professionale quella di divulgatore, tramite
articoli, libri, white paper, manuali tecnici, corsi, seminari, convegni.
Oltre 140 corsi e seminari presso ISACA/AIEA, ORACLE/CLUSIT, ITER,
INFORMA BANCA, CONVENIA, CETIF, IKN, UNIVERSITA DI MILANO,
CEFRIEL, ABI…
Già docente del percorso professionalizzante ABI - Privacy Expert e Data
Protection Officer e master presso diversi atenei.
Ha all’attivo oltre 800 articoli e collaborazioni con oltre 30 testate.
Ha pubblicato 25 fra libri e white paper alcuni dei quali utilizzati come
testi universitari; ha partecipato alla redazione di 20 opere collettive
nell’ambito di ABI LAB, Oracle Community for Security, Rapporto CLUSIT.
Socio e già proboviro di AIEA è socio del CLUSIT e del BCI.
Partecipa a numerosi gruppi di lavoro ed è fra i coordinatori di
www.blog.europrivacy.info .
Ha inoltre acquisito le certificazioni/qualificazioni LA BS7799, LA
ISO/IEC27001, CRISC, CDPSE, ISM, DPO, CBCI, AMBCI.
Giancarlo Butti
3. © Giancarlo Butti - Audit in ambito privacy
Alcuni testi derivano da
queste mie pubblicazioni
Note sul copyright
4. © Giancarlo Butti - Audit in ambito privacy
Note sul copyright
• Le verifiche in ambito privacy
• Caratteristiche degli audit in ambito privacy
• Realizzare un assessment iniziale
• Audit in pratica
• La verifica dei vari requisiti normativi
• Audit dei sistemi informativi
• Audit delle misure di sicurezza
• L’audit degli aspetti normativi
6. © Giancarlo Butti - Audit in ambito privacy
https://www.informabanca.it/2021/12/
28/laudit-sulla-privacy-valutazioni-
verifiche-gestione-dei-rischi/
7. © Giancarlo Butti - Audit in ambito privacy
Perché si svolge l’attività di audit in ambito privacy?
• Per TUTELARE L’AZIENDA da:
• Sanzioni
• Risarcimenti per danni a terzi
• Come strumento di accountability
• Come obbligo di verifica e sorveglianza per il DPO
• Come attività di supporto e consulenza
• Come opportunità
Perché le attività di audit in ambito privacy
8. © Giancarlo Butti - Audit in ambito privacy
Sanzioni
– Economiche
– Non economiche (imporre una limitazione provvisoria o definitiva al trattamento,
incluso il divieto di trattamento)
– Penali
Da cui possono derivare
Un danno reputazionale
Possibili interruzioni dei servizi
– Danno economico
– Contenzioso
– Danno reputazionale
Perché le attività di audit in ambito privacy
9. © Giancarlo Butti - Audit in ambito privacy
Le attività di audit riguardano:
• Autovalutazione degli adempimenti effettuati dal Titolare/Responsabile tramite
strutture interne (audit/compliance) o esterne
• Valutazione degli adempimenti effettuati dal DPO anche per il tramite di strutture
interne (audit/compliance) o esterne
• Valutazione di un Titolare sugli adempimenti contrattuali del Responsabile
• Valutazione di un Titolare sugli adempimenti contrattuali del DPO
• Valutazione di un Titolare sui requisiti del DPO
AUDIT: attività di audit in ambito privacy
10. © Giancarlo Butti - Audit in ambito privacy
• Audit ambiti formalizzati
• Audit ambiti non formalizzati
• Audit verticali su singole tematiche
• Audit orizzontali di processo
• Assesment complessivi
• Valutazione di adeguamento
TIPOLOGIA DI AUDIT in ambito privacy
11. © Giancarlo Butti - Audit in ambito privacy
• Audit su ambiti formali:
– Informative
– Designazioni
– Basi giuridiche
• Audit su ambiti non formalizzati
– Misure di sicurezza
– Analisi dei rischi
• Audit su temi specifici:
– Amministratori di Sistema
– Videosorveglianza
– Firma grafometrica
– …
• Audit tecnici/organizzativi specifici:
– Profilazione degli utenti
– Tempi di conservazione
– Esercizio dei diritti
– Qualità dei dati
– …
TIPOLOGIA DI AUDIT in ambito privacy
12. © Giancarlo Butti - Audit in ambito privacy
• Verifica (ove opportuno) della «migrazione»
• Verifica di corrispondenza (impianto) richiesta normativa/contenuto documenti
• Verifica del processo che ha portato alle scelte effettuate
– Soggetti coinvolti
– Chi ha effettuato le assunzioni di rischio
• Verifica dei processi di supporto
• Verifica di corrispondenza
– Il contenuto del documento corrisponde al vero
• Verifica di funzionamento
Ambiti di audit: ambiti formalizzati
13. © Giancarlo Butti - Audit in ambito privacy
• Verifica del processo che ha portato alle scelte effettuate
– Soggetti coinvolti
– Chi ha effettuato le assunzioni di rischio
• Verifica del ricorso a documenti/strumenti/standard autorevoli quale base di
riferimento
• Verifica dei processi di supporto
• Verifica di corrispondenza fra quanto implementato e la base di riferimento
• Verifica di funzionamento
Ambiti di audit: ambiti non formalizzati
14. © Giancarlo Butti - Audit in ambito privacy
Valutazione complessiva degli adempimenti privacy al fine di:
• Individuare le aree di maggior rischio
• Definire un programma di audit annuale e pluriannuale
• Definire le aree sulle quali attivare un monitoraggio nel continuo
• …
ASSESMENT
15. © Giancarlo Butti - Audit in ambito privacy
I limiti degli audit di impianto:
• si evidenzia che una tale formulazione, per quanto dettagliata, nulla dice circa il fatto
che l’informativa sia effettivamente conforme
• fermarsi a questo livello di analisi può essere molto utile, ma non garantisce la
conformità alla normativa
• infatti l’informativa potrebbe essere ineccepibile dal punto di vista dei contenuti, ma
non rispecchiare le reali modalità con cui si svolge un trattamento. Una tale
informativa risulterebbe quindi non conforme e come tale sanzionabile
• per ogni macro requisito normativo (ad esempio un singolo articolo della
normativa), sarebbe opportuno redigere uno specchietto come il seguente, che ha
sempre come tema quello delle informative:
Costruire una check list per un audit di impianto: i limiti
16. © Giancarlo Butti - Audit in ambito privacy
Oggetto Impianto teorico Agito
Verifica dei
requisiti
normativi
Il contenuto dell’informativa corrisponde a quanto richiesto dalla
normativa?
Il testo è semplice e chiaro?
I trattamenti si svolgono
esattamente come descritto
nella informativa?
Verifica delle
procedure di
gestione.
Esistono specifiche procedure per:
• la stesura delle informative
• la scelta della forma di rilascio
(carta, on line…)
• la messa a disposizione di chi deve
rilasciarle
• il rilascio
• la raccolta delle evidenze
Verifica di esistenza
Verifica di efficacia,
efficienza, coerenza
Verifica dell’agito
Verifica delle
procedure di
supporto.
Esistono specifiche procedure per:
• il monitoraggio dell’esigenza di
nuove informative
• il monitoraggio dell’esigenza di
variazione delle informative
esistenti
Verifica di esistenza
Verifica di efficacia,
efficienza, coerenza
Verifica dell’agito
Verifica di
coerenza
Il contenuto delle informative è coerente con quanto espresso in altri documenti aziendali?
Il contenuto delle procedure è coerente con quanto espresso in altri documenti aziendali?
Dall’audit di impianto ad un audit effettivo
Tratto dal libro G. Butti, M.R. Perugini «Audit e GDPR», FrancoAngeli
17. © Giancarlo Butti - Audit in ambito privacy
Spesso chi svolge le attività di verifica è lo stesso soggetto che ha implementato il
modello privacy
Una verifica di questo tipo:
• non da alcun valore aggiunto
• da un falso senso di conformità, in quanto il Titolare pensa effettivamente che sia
svolta un’attività di verifica
• non vi è alcuna revisione del modello privacy implementato, che viene considerato
corretto in quanto implementato da chi effettua le verifiche
• poco professionale
• può essere considerato elusivo rispetto ad una reale volontà di controllo.
Con gli schemi di certificazione tradizionali (qualità, sicurezza, ambiente…):
• Il consulente aiuta l’azienda a predisporre il proprio modello
• Il certificatore verifica la conformità
I rischi delle verifiche in ambito privacy: conflitto di interessi
18. © Giancarlo Butti - Audit in ambito privacy
Chi ha implementato può, correttamente, solo verificare che le disposizione previste
dal modello siano rispettate.
Non può verificare il modello che ha implementato.
I rischi delle verifiche in ambito privacy: conflitto di interessi
19. © Giancarlo Butti - Audit in ambito privacy
Limitarsi alla realizzazione di molteplici verifiche “verticali” su temi specifici (come, ad
esempio, sulla conformità formale delle informative) può portare alla formulazione di
una errata valutazione sull’effettiva conformità complessiva del Titolare.
L’osservanza di una normativa assai complessa e articolata come quella privacy può
essere accertata solo attraverso “audit di processo” che comprendano sia gli aspetti
formali, che le implementazioni organizzativi e tecniche adottate.
In partica, è quindi opportuno procedere svolgendo pochi audit ben mirati e
approfonditi su aree considerate a rischio, piuttosto che molti audit su singoli
argomenti.
ATTENZIONE a non impostare programmi di audit basati solo su audit verticali;
potrebbe essere considerata un’azione elusiva di una reale volontà di controllo.
I rischi delle verifiche in ambito privacy: tipi di verifica
20. © Giancarlo Butti - Audit in ambito privacy
Presi singolarmente un dado ed una vite potrebbero
essere perfettamente conformi ai requisiti richiesti
Audit mirati su argomenti specifici e
verticali possono portare a
interpretazioni errate
I rischi delle verifiche in ambito privacy: verifiche solo verticali
21. © Giancarlo Butti - Audit in ambito privacy
Solo presi insieme (solo analizzando trasversalmente un processo) si
può capire se effettivamente funziona.
La conformità di elementi presi singolarmente non è
significativo in merito alla conformità dell’insieme: l’idea di
tanti piccoli audit su argomenti specifici NON È UNA
BUONA IDEA…
I rischi delle verifiche in ambito privacy: verifiche solo verticali
22. © Giancarlo Butti - Audit in ambito privacy
Il GDPR non è una nuova normativa, ma una evoluzione di una normativa esistente:
• la maggior parte degli adempimenti previsti dal GDPR erano già in vigore
• in molti casi si tratta esattamente degli stessi adempimenti
• l’unica differenza è che nel GDPR il mancato rispetto di tali prescrizioni viene
sanzionato
I rischi delle verifiche in ambito privacy: continuità normativa
23. © Giancarlo Butti - Audit in ambito privacy
Le attività di verifica possono quindi non solo documentare la mancanza di un
adeguamento alla normativa privacy, ma anche un presunto adeguamento al GDPR.
Se ad esempio si rileva un’attività significativa volta a definire i tempi di conservazione
dei dati, si da evidenza del fatto che in precedenza tale attività non era normata, in
violazione di una prescrizione normativa che risale alla 675/96.
Analogamente ad esempio per la qualità dei dati e decine di altri adempimenti.
L’attività di verifica può quindi evidenziare non solo l’attuale mancato rispetto della
normativa, ma una precedente sostanziale non conformità.
Spesso le aziende enfatizzano i loro progetti di adeguamento ed in tal modo
producono evidenze oggettive del mancato rispetto della precedente normativa.
I rischi delle verifiche in ambito privacy: continuità normativa
24. © Giancarlo Butti - Audit in ambito privacy
GDPR – Art. 5/D.lgs 196/03 – Art. 11 675/96 – Art. 9
1. I dati personali sono:…
d) esatti e, se necessario, aggiornati;
devono essere adottate tutte le misure
ragionevoli per cancellare o rettificare
tempestivamente i dati inesatti rispetto
alle finalità per le quali sono trattati
(«esattezza»);
c) adeguati, pertinenti e limitati a quanto
necessario rispetto alle finalità per le quali
sono trattati («minimizzazione dei dati»);
e) conservati in una forma che consenta
l’identificazione degli interessati per un
arco di tempo non superiore al
conseguimento delle finalità per le quali
sono trattati…
1. I dati personali oggetto di trattamento
devono essere:…
c) esatti e, se necessario, aggiornati;
d) pertinenti, completi e non eccedenti
rispetto alle finalità per le quali sono
raccolti o successivamente trattati;
e) conservati in una forma che consenta
l’identificazione dell’interessato per un
periodo di tempo non superiore a quello
necessario agli scopi per i quali essi sono
stati raccolti o successivamente trattati.
I rischi delle verifiche in ambito privacy: continuità normativa
25. © Giancarlo Butti - Audit in ambito privacy
Si evidenzia che tale rischio non è solo legato alle attività di verifica.
Ad esempio un’analisi dei rischi eseguita ai sensi dell’art. 32, se porta a evidenziare
scostamenti notevoli o la mancanza di misure di sicurezza che erano classificate come
obbligatorie (misure minime nella precedente normativa) produce evidenze oggettive
del mancato rispetto di un precedente requisito presidiato penalmente.
I rischi delle verifiche in ambito privacy: continuità normativa
27. © Giancarlo Butti - Audit in ambito privacy
Verifiche in ambito privacy, dalle check list ai sistemi esperti: strumenti e consigli pratici
https://www.cybersecurity360.it/legal/privacy-dati-personali/verifiche-in-ambito-privacy-dalle-check-
list-ai-sistemi-esperti-strumenti-e-consigli-pratici/
Audit e GDPR: competenze e linee guida per svolgere correttamente le verifiche in ambito
privacy
https://www.cybersecurity360.it/legal/privacy-dati-personali/audit-e-gdpr-competenze-e-linee-
guida-per-svolgere-correttamente-le-verifiche-in-ambito-privacy/
I rischi dell’attività di audit nel percorso di adeguamento al GDPR
https://www.cybersecurity360.it/legal/privacy-dati-personali/i-rischi-dellattivita-di-audit-nel-
percorso-di-adeguamento-al-gdpr/
Audit e controlli interni: come ridurre il rischio cyber (post Gdpr)
https://www.cybersecurity360.it/soluzioni-aziendali/audit-e-controlli-interni-come-ridurre-il-rischio-
cyber-post-gdpr/
Il DPO e il rischio di conflitto di interessi: profili e allocazione delle responsabilità
https://www.cybersecurity360.it/legal/privacy-dati-personali/il-dpo-e-il-rischio-di-conflitto-di-
interessi-profili-e-allocazione-delle-responsabilita/
CyberSecurity360
28. © Giancarlo Butti - Audit in ambito privacy
Grazie per l’attenzione
giancarlo.butti@promo.it
gb@mrperugini.it
www.mrperugini.it
338 9230742