Politica di monitoraggio, audit e miglioramento del PIMS

La Politica di monitoraggio, audit e miglioramento del PIMS definisce i requisiti dell’organizzazione per valutare le prestazioni del Sistema di gestione delle informazioni sulla privacy attraverso monitoraggio, misurazione, analisi, valutazione, audit interno, Riesame della direzione, gestione delle non conformità, azione correttiva e Miglioramento continuo. La finalità dichiarata è assicurare che l’organizzazione valuti le prestazioni del PIMS, verifichi la conformità del PIMS, identifichi le non conformità, corregga le debolezze dei controlli e migliori continuamente il PIMS utilizzando evidenze oggettive. La politica si applica a tutti i processi, controlli, politiche, registri, elementi di evidenza, sistemi, fornitori, responsabili del trattamento, sub-responsabili e accordi di condivisione dei dati compresi nell’ambito di applicazione del PIMS. Copre inoltre i contesti dell’organizzazione come titolare del trattamento, contitolare del trattamento, responsabile del trattamento e sub-responsabile, risultando rilevante sia per la governance privacy sia per le attività operative di assurance. Un elemento distintivo della politica è il modello consolidato delle evidenze. REG12 è utilizzato come sede primaria per il programma di monitoraggio, le definizioni delle metriche, il programma di audit, i risultati degli audit, le evidenze del Riesame della direzione, le non conformità, le azioni correttive, le eccezioni e le azioni di miglioramento. Le evidenze di supporto provengono da REG01 a REG11, inclusi gli input sulle attività di trattamento da REG02, lo stato dei controlli di sicurezza da REG03, gli aggiornamenti sul rischio privacy da REG04, le evidenze di assurance dei fornitori e dei responsabili del trattamento da REG08, gli input sulle tendenze relative a incidenti e violazioni da REG10 e lo stato di completamento della formazione da REG11. La politica richiede al Privacy Lead / Responsabile del PIMS di definire metodi di misurazione, frequenza, fonte delle evidenze, obiettivi e ruoli responsabili per ciascuna metrica del PIMS prima dell’avvio del ciclo di misurazione, e di consolidare i risultati trimestralmente. I requisiti di audit e riesame sono strutturati intorno a pianificazione basata sul rischio, evidenze documentate e indipendenza. Il revisore di Internal Audit / conformità deve predisporre in REG12 un programma annuale di audit interno del PIMS basato sul rischio e definire l’obiettivo, i criteri, l’ambito di applicazione, il metodo, la base di campionamento e il termine di reportistica prima dell’avvio delle attività di audit sul campo. I controlli di indipendenza dell’auditor e di conflitto di interessi devono essere registrati prima di ciascun incarico di audit. Le attività di audit comprendono il test dello stato di applicazione dei controlli PIMS applicabili rispetto a REG03, la registrazione dei campioni selezionati di evidenze del trattamento di dati personali e la documentazione dei risultati entro 15 giorni lavorativi dal completamento dell’audit. Alle risultanze accettate devono essere assegnati proprietari delle azioni correttive in REG12 entro 10 giorni lavorativi dall’accettazione dei risultati dell’audit. Anche il Riesame della direzione, le azioni correttive e il miglioramento sono sottoposti a controllo rigoroso. L’Alta direzione deve svolgere il Riesame della direzione del PIMS almeno annualmente in REG12, esaminando azioni precedenti, metriche di prestazione del PIMS, stato degli obiettivi privacy, non conformità, azioni correttive, risultati del monitoraggio, risultati degli audit, rischi privacy, assurance dei fornitori e input di cambiamento delle parti interessate. Le non conformità devono essere registrate, le cause radice e i piani di azione correttiva devono essere presentati, le date di scadenza e i criteri di accettazione approvati, le evidenze di completamento conservate e l’efficacia verificata. Il Miglioramento continuo è guidato dal riesame trimestrale dei risultati del monitoraggio, dei risultati degli audit, delle tendenze degli incidenti, dello stato del rischio privacy, dello stato di assurance dei fornitori e delle tendenze delle azioni correttive. Quando la stessa categoria di risultanza si verifica due o più volte nell’arco di 12 mesi, la politica richiede la creazione in REG12 di un’azione di miglioramento sistemica.