I responsabili del trattamento devono essere adeguatamente selezionati, per fornire sufficienti garanzie circa il loro operato. Le garanzie devono essere, per quanto possibile, oggetto di verifica, considerando anche i rapporti di forza tra Titolare e Responsabile. L’audit è uno degli strumenti possibili per avere tale evidenza. Inoltre, ai Responsabili possono essere richiesti, da parte del Titolare, documenti afferenti le attività di quest’ultimo. Alla regolamentazione di questi temi, all’interno dei documenti che disciplinano il rapporto tra Titolare e Responsabile è dedicato l’articolo.
Il Decreto Trasparenza (Dlgs 104/2022) recentemente introdotto coinvolge in modo significativo, come già noto e trattato, tematiche relative alla protezione dei dati. In questo articolo si desidera approfondire un aspetto peculiare ma trascurato: la tematica dell'audit che si può pianificare e condurre a fronte di tale criterio.
Inveo, organismo di certificazione accreditato e training center Gdpr, ha lanciato su www.in-veo.com un nuovo servizio, libero e gratuito, di autovalutazione privacy. Un vero e proprio Gdpr test center, che accoglie tutti i professionisti della data protection che vogliano mettersi alla prova e auto misurarsi con test e quiz tematici, su più livelli, dedicati al mondo della protezione dei dati personali.
Per non farsi cogliere impreparate di fronte a un'inaspettata ispezione del Garante della Privacy, alcune grandi aziende hanno incluso nelle proprie procedure interne manuali e documenti come “Vademecum delle prassi per la cooperazione con Garante Privacy”, mentre altre hanno fatto veri e propri "stress test" con simulazioni d'ispezione.
Il tema del data breach ha assunto un’importanza crescente negli ultimi anni ed è ampiamente dibattuto. In questo articolo si esplora la problematica della differenza del concetto di data breach, come inteso dal Regolamento UE 2016/679 (GDPR), dalla ISO 27701:2019 e dalla ISO 27001:2013. Sono visioni non coincidenti, anche se in gran parte sovrapponibili, e da esse emergono spunti che ci permettono di migliorare la procedura di gestione di tali eventi.
Il mystery shopping è uno strumento che sempre più spesso viene utilizzato dalle aziende per misurare la qualità dei propri prodotti e servizi ed il modo in cui questi vengono proposti alla clientela. In alcuni casi può essere anche un mezzo per verificare il rispetto della normativa o intercettare comportamenti scorretti da parte della forza vendita, ad esempio in relazione al rapporto con i consumatori o alle modalità di raccolta dei dati personali per fini di marketing.
Il Dlgs 24/2023, disciplina la protezione delle persone che segnalano violazioni delle disposizioni normative nazionali, ha impatto anche sulla protezione dei dati personali. In questo articolo si approfondiscono gli aspetti relativi alla pianificazione e gestione degli audit in ambito di protezione dei dati personali connessi al whistleblowing.
Vogliamo affrontare il tema dell'accountability del titolare - come impostata dal Regolamento UE 2016/679 (a partire dall'art. 24, per poi essere rinvenuta, ancora in termini generali, negli artt. 5, 25, 32) - sapendo per esperienza che, in particolare nelle PMI e nelle piccole organizzazioni, permane un problema di attenzione continuativa ed effettiva alle esigenze/misure della protezione dei dati personali. Ecco allora emergere la necessità di un appuntamento periodico e, per così dire, 'strategico', nel quale il titolare possa applicare/esercitare consapevolezza della responsabilità, coscienza (auto)critica, aderenza a fatti/evidenze oggettive, ascolto dei più stretti collaboratori, generalità ovvero integralità dell'approccio, tensione verso il miglioramento continuo e capacità di pianificazione. Questo appuntamento è, inevitabilmente, quello del riesame di direzione.
Inveo group ha rilasciato nella sezione Privacy Tools Data processing Assessment Checklist, un nuovo documento utile per effettuare un audit preliminare per la progettazione di un trattamento in ambito data protection, con lo scopo di autovalutare lo stato di implementazione del trattamento in conformità al GDPR.
