Audit da remote nelle certificazioni alimentari: problemi di privacy e cybersecurity.
La GDO spinge i propri fornitori ad assoggetarsi a schemi di certificazione ed esegue controlli interni allo scopo di immettere nel mercato cibi sicuri.
L’attività di certificazione ha dovuto adeguare le proprie metodologie di lavoro al particolare momento storico, facendo ricorso all’information and comunications technology (ICT).
Una delle principali attività degli organismi di controllo e di certificazione sono gli audit e la necessità di condurli con tecniche da remoto ha fatto insorgere nuove questioni inerenti alla cybersecurity e alla gestione della privacy.
I problemi emersi possono essere riassunti secondo tre direttrici:
- 1. privacy e conservazione dei dati;
- 2. sicurezza informatica (c.d. cybersecurity);
- 3. questioni di natura legale.
1) La tutela della privacy potrebbe essere compromessa in quanto sia prima dell’audit che durante la sua conduzione vengono messe a disposizione del gruppo documenti, foto, video, registrazioni che possono contenere dati personali o addirittura sensibili.
La documentazione viene trasmessa solitamente via e-mail e la casella di posta elettronica potrebbe essere violata e se ne potrebbero vederne i contenuti. Nel caso in cui i documenti venissero condivisi in modalità sincrona, qualcuno non appartenente al team di audit potrebbe vederli dallo schermo del dispositivo di uno degli auditor oppure personale non autorizzato potrebbe sentire le conversazioni durante le riunioni.
Durante i tour virtuali degli uffici o dei reparti si potrebbero riprendere i volti delle persone oppure particolari aspetti fisionomici. Questi elementi, durante una visita ai reparti in presenza, solitamente non vengono colti perché si è concentrati a valutare anche altri aspetti. Il video però viene registrato e può essere rivisto, esaminandolo più e più volte, consentendo di vedere elementi ulteriori che ad occhio nudo non sarebbero evidenti.
La registrazione è necessaria fintanto che il gruppo di audit non si sia riunito per la stesura del rapporto finale in quanto vi potrebbero essere dubbi, incongruenze e diverse valutazioni che potrebbero venir dipanate solamente rivedendo il video tutti assieme. La conservazione dei dati da parte dell’auditor durante questo periodo potrebbe rappresentare una criticità.
2) Il problema della sicurezza informatica (cybersecurity) è strettamente collegato al tema della privacy.
Durante le riunioni online, che almeno per il momento vengono svolte utilizzando piattaforme non dedicate (Zoom, Teams, Skype, GoToMeeting), potrebbero intromettersi soggetti indesiderati che potrebbero assistere a conversazioni riservate.
Vi potrebbero essere problemi durante la connessione derivanti dal fatto che non tutti i dispositivi dei partecipanti abbiano antivirus o firewall aggiornati, consentendo azioni di hackeraggio attraverso malware che potrebbero creare danni.
Per evitare qualsiasi addebito di responsabilità in questi casi, l’organismo di certificazione potrebbe far sottoscrivere all’azienda un modulo informativo sui rischi dell’audit remoto. Ci si chiede se questo però esoneri davvero l’ente da qualsiasi responsabilità o se invece residuino degli spazi interstiziali legati al fatto che il cliente non sia stato adeguatamente informato su tutti quelli che sono i possibili rischi.
3) La terza serie di criticità sono di natura legale.
L’auditor potrebbe visionare documenti o assistere a processi coperti da segreto industriale. Questi dati o le videoregistrazioni potrebbero cadere per errore nelle mani della concorrenza con danni enormi per l’azienda sottoposta a revisione.
L’auditor potrebbe inoltre individuare una non conformità grave tale da costituire un reato.
Altra questione legale potrebbe essere inerente al tema della sicurezza sul lavoro: l’oggetto dell’audit potrebbe non riguardare specificamente questo aspetto, ma eventuali evidenze registrate porrebbero l’auditor in una posizione scomoda in quanto, anche se non specificamente competente per la materia, ha comunque un bagaglio esperienziale che gli consente di individuare irregolarità anche in questo settore.
Egli potrebbe inoltre verificare da remoto che un programma utilizzato da uno degli appartenenti all’organizzazione sottoposta a revisione non è licenziato ma craccato.
Per quanto riguarda specificamente il settore alimentare, potrebbero essere rilevati problemi di igiene e di non conformità all’autocontrollo previsto dal manuale HACCP o un non corretto smaltimento dei rifiuti.
Le principali soluzioni adottate per far fronte ai problemi sopra evidenziati sono state le seguenti:
1) per quanto attiene alla questione della privacy e della conservazione dei dati, gli organismi di certificazione hanno adeguato l’informativa sul trattamento dei dati personali da sottoporre ai clienti inserendo specifiche clausole inerenti all’utilizzo di ICT (videoconferenze, condivisione di registrazioni). Alcuni hanno disposto che la possibilità di effettuare registrazioni video, audio o screenshot debba essere espressamente richiesta preventivamente a tutti i partecipanti dell’audit e, solo dopo averne acquisito il consenso, possa essere avviata. È stato previsto inoltre che, in caso di tour virtuali nei siti produttivi, non vengano inquadrati i volti delle persone. Altri enti di certificazione hanno invece escluso a priori queste possibilità per non avere problemi di conservazione dei dati e di gestione della privacy.
Per quanto riguarda la gestione dei dati da parte dell’auditor, si è adottato il principio della minimizzazione del tempo del trattamento all’attività da svolgere. È stato previsto che il gruppo di audit trattenga i documenti trasmessi dall’azienda auditata per il minor tempo possibile e, comunque, al massimo fino alla redazione del rapporto;
2) per quanto riguarda i profili della sicurezza informatica, sono stati escogitati dei sistemi semplici per limitare il più possibile la possibilità che vengano in possesso di terzi. Ad esempio, i documenti che l’organizzazione sottoposta a revisione trasmette all’esaminatore potrebbero essere trasmessi attraverso Microsoft SharePoint o un’apposita area di scambio virtuale condivisa col team.
Se non si disponesse di questo software o simili, la trasmissione potrebbe avvenire comunque tramite e-mail, ma i documenti dovrebbero essere inseriti un file zip protetto da password, che dovrebbe poi essere comunicata all’auditor con altro canale (sms, Whatsapp, Telegram).
Per quanto riguarda la sicurezza dei software di videoconferenza utilizzati, va detto che quelli generalisti si sono notevolmente evoluti nell’ultimo anno e quindi sono adeguati allo scopo;
3) relativamente all’ultima criticità rilevata, ossia le questioni di natura legale, va detto che si tratta di un terreno molto scivoloso in quanto le eventuali irregolarità o non conformità potrebbero non rientrare nell’ambito dello schema di certificazione per cui si è chiesta la valutazione così come non potrebbero rientrare tra le competenze dell’auditor.
In questi casi, la valutazione circa le misure da intraprendere sarà lasciata all’auditor, il quale deciderà come comportarsi in relazione alle evidenze oggettive, alle sue competenze e alla gravità della non conformità riscontrata.
