Guida Interpretativa 2300-1: Uso dei dati personali da parte dell’IA nello svolgimento dell’incarico

1. Gli internal auditor devono considerare le problematiche relative alla protezione dei dati personali raccolti nel corso degli incarichi di audit, man mano che l’evoluzione delle tecnologie informatiche e di comunicazione pone via via nuovi rischi e minacce alla tutela della privacy. In molte giurisdizioni, i controlli sulla tutela della privacy costituiscono requisiti di legge.

2. In genere, per dati personali si intendono i dati relativi a una persona specifica o i dati che presentano caratteristiche identificative che potrebbero essere combinate con altre informazioni. Essi comprendono qualsiasi dato reale o soggettivo, registrato o non registrato, in qualsiasi forma o su qualsiasi supporto. I dati personali comprendono:

  • nome, indirizzo, codici identificativi, reddito, gruppo sanguigno;
  • valutazioni, status sociale, azioni disciplinari;
  • dossier sui dipendenti e dati relativi a crediti e mutui;
  • informazioni mediche e sanitarie sui dipendenti.

3. In molte giurisdizioni, le leggi vigenti impongono alle organizzazioni di dichiarare lo scopo per cui vengono raccolti i dati personali prima di acquisirli o nel momento in cui vengono acquisiti. Queste leggi vietano inoltre di usare e di divulgare i dati personali per scopi diversi da quelli dichiarati ai fini della loro acquisizione, tranne nel caso in cui l’interessato abbia espresso il proprio consenso o se richiesto dalla legge.

4. È importante che gli internal auditor capiscano e rispettino tutte le leggi in materia di utilizzo dei dati personali vigenti nella loro giurisdizione e nelle giurisdizioni in cui opera la loro organizzazione.

5. Accedere, recuperare, esaminare, manipolare o usare dati personali nello svolgimento di determinati incarichi di internal auditing potrebbe essere inopportuno e, in alcuni casi, illegale. Se si prevede che l’internal auditor debba accedere a dati personali, potrebbe essere necessario predisporre procedure a tutela di questi dati. Per esempio, in alcune situazioni l’internal auditor potrebbe decidere di non registrare i dati personali nella documentazione dell’incarico.

6. Qualora vi siano dubbi o preoccupazioni sul possibile accesso a dati personali, l’internal auditor, prima di iniziare l’audit, potrebbe chiedere la consulenza dell’ufficio legale.

 

***

maggio 2010

Standard 2300 - Svolgimento dell'Incarico