Audit e GDPR. Manuale per le attività di verifica e sorveglianza del titolare e del DPO (Data Protection Officer)

Le attività di verifica e audit, oltre a costituire un obbligo per i DPO, sono uno strumento di accountability per tutti i titolari e responsabili del trattamento. La normativa è particolarmente articolata, vasta, trasversale e in continua evoluzione: i pochi requisiti di conformità definiti in modo puntuale (ad esempio, il contenuto obbligatorio dell’informativa) coesistono con i molti la cui valutazione è lasciata alla responsabilità del titolare (ad esempio, le misure di sicurezza). Il volume descrive dunque il processo di audit nel suo complesso: la stesura di un piano di audit, la definizione di una metodologia di descrizione delle non conformità, la loro valutazione secondo diverse metodologie (quali ad esempio i modelli di maturità), la stesura di un audit report e la relativa valutazione complessiva. Dopo una presentazione delle caratteristiche dell’attività di audit e dei relativi standard e buone pratiche, il volume propone le metodologie per effettuare un assessment iniziale utile a individuare le aree a maggiore rischio di non conformità e a definire il conseguente piano di audit. Vengono proposte metodologie di verifica dei requisiti di conformità attraverso check list precostituite, suggerimenti su come costruire check list personalizzate e altri strumenti utili nei documenti realizzati da enti, agenzie e autorità garanti, quali esempi di buone pratiche. Vengono descritti sia i punti di controllo di carattere generale, sia quelli specifici di ogni macro argomento trattato. Un breve capitolo analizza le varie figure coinvolte: chi può svolgere un’attività di verifica, le qualifiche che deve avere, le certificazioni esistenti per dimostrare le proprie competenze.