Audit ai sensi del Regolamento Europeo 2016/679: Un Format Metodologico
Premessa
Con la recente entrata in vigore, lo scorso 25 maggio 2018, del Regolamento sulla Protezione dei Dati Personali, l’ Europa prende finalmente atto di un cambiamento epocale: la nostra società ultratecnologica, iperconnessa, si muove ormai in un cyberspazio dai confini sfumati, difficilmente individualizzabili in cui non è raro che gli attori (civili ed economici) perdano il controllo dei propri dati personali.
Per mantenere la competitività sui mercati internazionali, trainata dalla fiducia dei consumatori, la Commissione emette il Regolamento, profondamente innovativo, la cui estrema ratio vede la sinergia inscindibile della protezione del dato personale sotto un duplice profilo:
il primo afferisce alla dimensione della safety del trattamento, l’aspetto normativo/documentale, finalizzato a garantire che il flusso sui dati non leda i diritti fondamentale dell’interessato.
il secondo afferisce alla dimensione della security del trattamento, l’aspetto tecnologico/organizzativo, che mira a garantire la confidenzialità, l’integrità e la disponibilità del dato personale, nel passaggio attraverso l’infrastruttura operativa.
Il Regolamento cambia profondamente la logica degli audit relativi alla normativa privacy: non esistono più misure minime di sicurezza da implementare ma viene introdotto un moderno approccio risk based, in base al quale il titolare del trattamento si impegna a mettere in campo tutte le misure ritenute adeguate al rischio stimato.
Questa sostanziale “rivoluzione copernicana” impatta notevolmente sulle procedure operative consulenziali: non basta più controllare la sussistenza di un elenco di requisiti (quello che era l’allegato B del Codice della Privacy); si tratta invece di effettuare una seria e competente analisi del rischio preliminare e, qualora si individui un trattamento ad alto impatto, procedere con la dpia (Data Protection Impact Assessment).
Il presente lavoro nasce da un’istanza prima di tutto operativa.
Gli addetti ai lavori sentono fortemente la necessità di un format metodologico che fornisca delle linee guida attraverso cui plasmare l’attività di audit e che dia una risposta riproducibile e intersoggettiva alla domanda sulla necessità o meno di procedere alla valutazione di impatto.