Il Consiglio dei dottori commercialisti ed esperti contabili ha recentemente pubblicato un nuovo documento, con il quale intende fornire un valido supporto ai professionisti iscritti all’albo ormai chiamati, in ambito GDPR, a svolgere non solo funzioni consulenziali, ma anche ruoli operativi di responsabilità come data protection officer (DPO), responsabili audit o esperti tecnici in contenziosi in materia di privacy.
Il documento dal titolo “Il ruolo del commercialista in materia di privacy e protezione dei dati (Regolamento n. 679/2016): la valutazione della conformità al GDPR”, focalizza l’attenzione, in particolare, sugli aspetti legati all’audit interno all’organizzazione (di prima parte) ed esterno (di terza parte), ossia compiuto ai fini del rilascio delle certificazioni da parte degli organismi preposti e, dunque, su quella fase del sistema di gestione dei dati personali connessa alla verifica della conformità alla disciplina in materia di protezione dei dati personali, fornendo, non solo utili indicazioni e chiarimenti, ma puntualizzando anche le tecniche di audit previste dalla norma UNI EN ISO 19011:2018, arricchite da esempi pratici di modulistica e suggerimenti operativi per la verifica della documentazione richiesta.
Sono, in dettaglio, presi in considerazione nel documento i sistemi di gestione volontari, come quelli basati sulle norme ISO/IEC 27001 e 27701 o sullo schema ISDP©10003:2020, strumenti la cui adozione non è obbligatoriamente imposta dalla norma, ma che vengono sempre più adottati dalle organizzazioni come riferimento per strutturare le proprie politiche di sicurezza e compliance in materia di protezione dei dati.
Il CNDCEC, dunque, nel testo redatto spiega le tecniche per svolgere le verifiche di conformità alla normativa in materia di privacy previste nella UNI EN ISO 19011:2018, soffermandosi sulla documentazione da richiedere all’organizzazione per eseguire compiutamente le indagini e verificare il livello di accountability e, quindi, valutare lo scostamento rispetto a quanto richiesto dalla disciplina normativa.
In particolare, vengono indicati gli step da compiere per programmare ed, in seguito, eseguire correttamente un audit e, dunque, su come gestire l’intero ciclo del programma di verifica.
Vengono analizzate le modalità attraverso le quali procedere alla raccolta e al campionamento delle informazioni e, quindi, le interviste ai referenti interni, la raccolta della documentazione e delle informazioni relative al modo in cui l’organizzazione esaminata tratta i dati personali, il riesame della documentazione, la redazione del verbale di audit all’interno del quale verrà in dettaglio data evidenza di quanto compiuto e del livello di conformità/non conformità dell’organizzazione rispetto alla norma e alle azioni da compiere per giungere alla completa accountability.
Il documento approfondisce, inoltre, quanto specificamente richiesto dalla ISO IEC 27001 e dalla ISO/IEC 27701, ai fini dell’ottenimento della certificazione in ambito privacy.
Affinchè un’impresa o comunque un’organizzazione ottenga la certificazione ISO in materia di trattamento dei dati personali, è necessario che il consulente prepari la persona giuridica interessata a sostenere la verifica ispettiva dell’ente certificatore e, dunque, in fase di audit, sarà tenuto a verificare che tutti i criteri previsti dalla norma ISO siano correttamente soddisfatti.
A tal proposito, il documento in esame analizza i passaggi chiave, per garantire una corretta adozione e conformità agli standard di sicurezza delle informazioni, e dunque, per implementare un adeguato Sistema di gestione della sicurezza delle informazioni (SGSI).
Medesimo discorso viene effettuato rispetto all’ottenimento della certificazione ISDP©10003:2020, ossia lo schema internazionale di certificazione progettato per valutare la conformità al GDPR conformemente alla norma UNI EN ISO 17065.
Viene precisato lo scopo dello schema, ossia quello di fornire alle organizzazioni l’opportunità di dimostrare la propria responsabilità nell’attuare i requisiti previsti dal GDPR, incluso il monitoraggio delle procedure interne relative al trattamento e alla protezione dei dati personali. Ciò richiede un’attenzione particolare alla gestione adeguata dei rischi associati.
Per ottenere la certificazione ISDP©10003:2020, un’azienda deve preparare e tenere aggiornata la documentazione richiesta dal GDPR e, in particolare, un manuale Privacy che comprenda una serie di adempimenti che il documento dei dottori commercialisti analizza compiutamente.
Un capitolo a parte del documento viene dedicato ai registri da predisporre, monitorare, aggiornare e conservare: il Registro dei trattamenti, il registro dei trattamenti dei dati personali; il registro dell’Amministratore di Sistema; il registro delle Violazioni (Data Breach); il registro della Formazione; il registro dei Penetration Test; il registro dei Disaster Ricovery; il registro dei Sub Responsabili del trattamento; il registro dell’esercizio dei diritti da parte degli interessati; il registro dei visitatori e della protezione della Privacy.
Ciascun registro viene analizzato dettagliatamente nel suo contenuto, vengono poi menzionate le informative e quanto l’auditor deve verificare in merito ad esse, così come anche l’organigramma privacy dell’organizzazione e le nomine dei soggetti implicati nel trattamento dei dati; particolare attenzione viene posta sulla DPIA (Data protection impact assessment) e sui casi in cui deve essere eseguita, fornendo una check list completa per verificare la conformità documentale.
Sono poi analizzate le misure di sicurezza e su questo tema viene preso in considerazione l’Annex A della norma ISO:IEC 27001/2022 che fornisce il dettaglio di tutti i controlli da compiere rispetto alle misure di sicurezza informatica che devono essere implementate per proteggere i dati personali trattati rispetto al livello di rischio individuato.
Nell’ultima parte del documento viene analizzata la direttiva NIS, che, lo si ricorda, ha l’obiettivo di rafforzare la sicurezza delle reti e dei sistemi informativi degli Stati membri e quindi dell’Unione Europea.
Vengono riportati su tale argomento, in modo schematico, i tratti essenziali e i principali adempimenti della Direttiva, per la stretta connessione con le tematiche trattate, con riferimento all’obbligo di adozione di misure di sicurezza informatica di cui al GDPR e, infine, viene menzionato l’AI Act e analizzati sinteticamente gli impatti dell’intelligenza artificiale in ambito privacy e, dunque, la necessità di adottare un approccio preventivo basato sull’analisi dei rischi, quando si impiega l’intelligenza artificiale nel contesto di un trattamento di dati personali, menzionando i sistemi vietati dall’AI Act e fornendo una check list dettagliata per verificare la conformità dei sistemi di AI rispetto alla disciplina in materia di privacy.