Secondo l’Articolo 39 del GDPR tra i compiti del responsabile della protezione dei dati vi sono quelli di:

• Sorvegliare l’osservanza del presente regolamento, di altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo.

La sorveglianza sull’osservanza del GDPR si svolge a mezzo di audit privacy che definiremo una valutazione dei processi aziendali sul grado di rispetto della normativa vigente.

Esistono vari metodi a disposizione dei responsabili del trattamento per valutare l’efficacia (o l’inefficacia) delle misure adottate in materia di privacy. Per il trattamento di dati di maggiori dimensioni, più complesso e ad alto rischio, gli audit interni ed esterni sono metodi comuni di verifica. Anche il modo in cui vengono condotti gli audit può variare, da audit completi ad audit negativi (che possono a loro volta assumere forme diverse). Nel decidere come garantire l’efficacia delle misure, il Gruppo di lavoro articolo 29 suggerisce di utilizzare gli stessi criteri applicati per decidere le misure mutuate dall’articolo 17 della direttiva 95/46/CE, vale a dire, i rischi presentati dal trattamento e la natura dei dati. Pertanto, il modo in cui un responsabile del trattamento deve assicurare l’efficacia delle misure dipende dalla tipologia dei dati, dalla quantità dei dati trattati e dai particolari rischi che il trattamento comporta.

Gli audit interni, a volte denominati “audit di prima parte”, sono effettuati, per il riesame da parte della direzione e per altri fini interni, dall’organizzazione stessa, o per suo conto, e possono costituire la base per una autodichiarazione di conformità da parte dell’organizzazione. In molti casi, particolarmente nelle organizzazioni più piccole, l’indipendenza può essere dimostrata con l’assenza di responsabilità per l’attività oggetto dell’audit.

Gli audit esterni comprendono quelli che sono generalmente denominati “audit di seconda parte” e di “terza parte”.

Gli audit di seconda parte sono effettuati da chi ha un interesse nell’organizzazione, quali i clienti, o da altre persone per conto degli stessi. Gli audit di terza parte sono effettuati da organismi di audit esterni indipendenti, quali quelli che rilasciano certificazioni di conformità ai requisiti della ISO 9001 e della ISO 14001

Lo Studio Camata svolge attività di auditing sui processi aziendali in materia di GDPR e dà supporto per lo svolgimento di audit interni.