NEWS

 

Le domande da non fare durante la conduzione di un audit sulla protezione dei dati

La nuova edizione della “Linea guida per audit di sistemi di gestione” ISO 19011 è in fase di revisione; la pubblicazione è prevista per il primo trimestre del 2026. Le modifiche apportate sono piuttosto limitate, anche se alcune di grande interesse.

(Nella foto: l'Ing. Monica Perego, membro del Comitato Scientifico di Federprivacy)

In attesa della versione definitiva del documento, in questo articolo si vuole approfondire il tema delle “domande che orientano la risposta”.

Sin dalla versione del 2018, nella sezione A17 che tratta il tema della “Conduzione delle interviste” è indicato, che bisogna porre attenzione sulla “scelta de tipo di domanda” da porre in audit e propone di fare ricorso alle: domande aperte, domande chiuse, indagini di apprezzamento e domande che orientano la risposta.

Sull’utilizzo in fase di audit delle “domande che orientano la risposta” ci sono alcune perplessità. Infatti, sono delle domande che presentano alcune caratteristiche e conseguentemente potrebbero essere non opportuno utilizzarle in fase di audit.

Nella versione DIS della linea guida, ad oggi disponibile il riferimento all’utilizzo delle domande tendenziose, che in lingua inglese sono indicate come "leading questions", è ancora presente.

Le domande che orientano la risposta hanno le seguenti caratteristiche:

- presuppongono un problema;
- suggeriscono la risposta desiderata;
- limitano la possibilità di una valutazione obiettiva;
- compromettono l’imparzialità dell’audit.

Sono quindi problematiche in quanto:

- suggeriscono la risposta desiderata;
- riducono l’obiettività del processo di audit;
- possono far perdere informazioni importanti condizionando l’interlocutore;
- compromettono l’indipendenza dell’auditor;
- facilitano risposte compiacenti piuttosto che veritiere che possono mascherare vulnerabilità reali.

Che taglio hanno le domande tendenziose? Qui di seguito una serie di esempi applicate al contesto della protezione dei dati personali.

- Immagino che non sia lei ad autorizzare e verificare i log degli accessi ai sistemi dell’Amministratore di sistema, corretto?
- Chi è responsabile di autorizzare e verificare i log degli accessi ai sistemi da parte dell’Amministratore di sistema?
- Presumo che cambiate le password semestralmente come da policy, giusto?
- Con che frequenza vengono cambiate le password?
- Non avete avuto alcun evento di data breach quest’anno, vero?
- Quali eventuali data breach si sono verificati nell’ultimo anno?
- L’inventario degli asset informatici corrisponde sempre a quelli nel data base, corretto?
- Quali discrepanze sono emerse confrontando l’inventario degli asset fisici con quelli del data base?
- Ha notato quanto siano lenti i tempi di risposta del sistema IT, vero?
- Come valuta i tempi di risposta dei sistemi IT?
- Non crede che dovremmo rafforzare i controlli sui responsabili del trattamento dato che sono chiaramente insufficienti?
- Come valuta l’efficacia dei controlli sui responsabili del trattamento?

In ambito GDPR criticità possono assumere dimensioni ancora maggiori in quanto si possono:

- sottostimare violazioni esistenti nella gestione dei dati;
- non identificare gap nelle misure tecniche e organizzative richieste dall’art. 32;
- creare una falsa/alterata documentazione di conformità che espone l’organizzazione a sanzioni severe in caso di ispezione del Garante.

Il GDPR richiede infatti che le organizzazioni dimostrino in modo oggettivo e verificabile la conformità (principio di accountability, art. 5.2). Le domande tendenziose producono, in tale contesto:

- documentazione d’audit non attendibile che non può essere utilizzata come prova di conformità;
- verbali che non supererebbero a un controllo ispettivo esterno qualificato;
- impossibilità di utilizzare i risultati dell’audit per decisioni informate su valutazioni d’impatto (DPIA) o notifiche di data breach.

Conclusione - Indipendentemente dal fatto che ancora la nuova versione della ISO/IEC 19018 riporti ancora questa tipologia di domande, è importante ricordare che in fase di audit non dovrebbero essere utilizzate oppure sono da utilizzare con grande parsimonia ed in contesti molto specifici.

Gli audit è necessario che siano condotti sempre in modo il più possibile asettico, senza una ricerca di complicità tra auditore ed auditato. L’auditore non deve esprimere giudizi, sbilanciarsi né in un senso né nell’altro. Deve, al contrario, cercare di raccogliere il maggior numero di evidenze in modo oggettivo, per formulare una valutazione che tracci, nel modo più fedele possibile la realtà. Ciò si può ottenere utilizzando in modo opportuno le domande aperte, le domande chiuse e le indagini di apprezzamento.

In sostanza, negli audit ed in quelli sulla protezione dei dati in modo particolare, la neutralità è essenziale perché i risultati hanno conseguenze legali dirette e devono fornire una fotografia oggettiva dello stato di protezione dei dati personali trattati.

Note sull'Autore

Monica Perego Monica Perego

Membro del Comitato Scientifico di Federprivacy, docente qualificato TÜV Italia e docente del Master per Esperto Privacy e del Corso di alta formazione per Data Manager - Twitter: monica_perego

Articoli correlati

Prev La protezione del know-how aziendale non può essere considerata una questione burocratica
Next Da Confprofessioni e ANF il modulo informativo per i professionisti che utilizzano strumenti di Intelligenza Artificiale

Galleria Video

Privacy Day Forum 2025: il servizio dell'Ansa

Cerca Delegato

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Newsletter

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy

Federprivacy sui social

Argomenti in evidenza