La linea guida ISO 19011, riferimento internazionale per la conduzione degli audit dei sistemi di gestione, è in fase di revisione con la versione aggiornata “ISO/DIS 19011:2025”, la cui pubblicazione è prevista per il primo quadrimestre del 2026.

Con l'entrata in vigore del Regolamento (UE) 2024/1689, noto come Articial Intelligence Act, un’organizzazione che sviluppa o utilizza sistemi di AI ad alto rischio dovrebbe predisporre una procedura integrata di incident management, in grado di rispondere contemporaneamente ai requisiti dell’AI Act e del GDPR. 

Nel contesto di un audit (interno, di seconda parte o di terza parte), le “buone prassi” - o “good practices” — sono risultanze “positive” osservate durante la verifica, che vanno “oltre la conformità minima” ai requisiti della norma sia essa cogente o volontaria o del modello di procedure/passi applicato.

Per leggere l'articolo integrale devi effettuare il login!

La nuova edizione della “Linea guida per audit di sistemi di gestione” ISO 19011 è in fase di revisione; la pubblicazione è prevista per il primo trimestre del 2026. Le modifiche apportate sono piuttosto limitate, anche se alcune di grande interesse.

La norma ISO/IEC 27005:2022 “Information security, cybersecurity and privacy protection - Guidance on managing information security risks” è uno standard internazionale che fornisce linee guida per la gestione dei rischi nella sicurezza delle informazioni che rappresenta una guida completa e pratica per implementare un sistema efficace di gestione dei rischi nella sicurezza dei dati.

La politica aziendale di una organizzazione deve focalizzarsi sulla cultura della responsabilità individuale, trovando una naturale applicazione anche nel contesto della introduzione di strumenti di AI a comunicare da quella generativa che oramai è parte integrante delle attività quotidiane.

Le evidenze raccolte nelle attività di audit GDPR devono essere confrontate con i criteri ovvero documenti che dettano le “regole”. Un problema si presenta quando i criteri non sono nettamente definiti o addirittura mancanti ed è necessario comunque valutare l’efficacia di un processo.

Il close reading è una tecnica di analisi testuale che prevede un esame approfondito e meticoloso di un testo, che può essere utilizzata nel contesto della protezione dei dati personali ed in particolare da parte di un Data Protection Officer per migliorare la qualità e la quantità dei controlli che effettua.

Nel contesto della protezione dei dati personali, è fondamentale comprendere la differenza tra i concetti di "progetto" e "processo", in quanto questi due termini, sebbene spesso utilizzati in modo intercambiabile, rappresentano approcci distinti e complementari anche nella gestione delle informazioni sensibili.

Il diagramma a tartaruga (o "turtle diagram") è uno strumento utilizzato principalmente per la gestione dei processi aziendali, in particolare per la pianificazione e l'analisi di un processo specifico. È chiamato così perché la sua struttura grafica ricorda una tartaruga stilizzata, e trova la sua applicazione anche nel contesto della protezione dei dati.