Quando un'azienda ricorre a responsabili del trattamento esterni è importante che scelga in modo accurato i soggetti che trattano dati personali per suo conto e controlli che le attività condotte dai responsabili siano svolte in modo corretto e in conformità alle indicazioni che lo stesso titolare medesimo fornisce loro.
I responsabili del trattamento devono essere adeguatamente selezionati, per fornire sufficienti garanzie circa il loro operato. Le garanzie devono essere, per quanto possibile, oggetto di verifica, considerando anche i rapporti di forza tra Titolare e Responsabile. L’audit è uno degli strumenti possibili per avere tale evidenza. Inoltre, ai Responsabili possono essere richiesti, da parte del Titolare, documenti afferenti le attività di quest’ultimo. Alla regolamentazione di questi temi, all’interno dei documenti che disciplinano il rapporto tra Titolare e Responsabile è dedicato l’articolo.
Per leggere l'articolo integrale devi effettuare il login!
Il Decreto Trasparenza (Dlgs 104/2022) recentemente introdotto coinvolge in modo significativo, come già noto e trattato, tematiche relative alla protezione dei dati. In questo articolo si desidera approfondire un aspetto peculiare ma trascurato: la tematica dell'audit che si può pianificare e condurre a fronte di tale criterio.
Inveo, organismo di certificazione accreditato e training center Gdpr, ha lanciato su www.in-veo.com un nuovo servizio, libero e gratuito, di autovalutazione privacy. Un vero e proprio Gdpr test center, che accoglie tutti i professionisti della data protection che vogliano mettersi alla prova e auto misurarsi con test e quiz tematici, su più livelli, dedicati al mondo della protezione dei dati personali.
Per non farsi cogliere impreparate di fronte a un'inaspettata ispezione del Garante della Privacy, alcune grandi aziende hanno incluso nelle proprie procedure interne manuali e documenti come “Vademecum delle prassi per la cooperazione con Garante Privacy”, mentre altre hanno fatto veri e propri "stress test" con simulazioni d'ispezione.
Il tema del data breach ha assunto un’importanza crescente negli ultimi anni ed è ampiamente dibattuto. In questo articolo si esplora la problematica della differenza del concetto di data breach, come inteso dal Regolamento UE 2016/679 (GDPR), dalla ISO 27701:2019 e dalla ISO 27001:2013. Sono visioni non coincidenti, anche se in gran parte sovrapponibili, e da esse emergono spunti che ci permettono di migliorare la procedura di gestione di tali eventi.
La linea guida ISO 19011, riferimento internazionale per la conduzione degli audit dei sistemi di gestione, è in fase di revisione con la versione aggiornata “ISO/DIS 19011:2025”, la cui pubblicazione è prevista per il primo quadrimestre del 2026.
Nel contesto di un audit (interno, di seconda parte o di terza parte), le “buone prassi” - o “good practices” — sono risultanze “positive” osservate durante la verifica, che vanno “oltre la conformità minima” ai requisiti della norma sia essa cogente o volontaria o del modello di procedure/passi applicato.
Per leggere l'articolo integrale devi effettuare il login!
La nuova edizione della “Linea guida per audit di sistemi di gestione” ISO 19011 è in fase di revisione; la pubblicazione è prevista per il primo trimestre del 2026. Le modifiche apportate sono piuttosto limitate, anche se alcune di grande interesse.
Le evidenze raccolte nelle attività di audit GDPR devono essere confrontate con i criteri ovvero documenti che dettano le “regole”. Un problema si presenta quando i criteri non sono nettamente definiti o addirittura mancanti ed è necessario comunque valutare l’efficacia di un processo.
