Il principio dell’accountability rappresenta uno dei pilastri su cui si fonda l’impianto normativo del Regolamento Europeo 2016/679 anche noto come GDPR.

Il Regolamento, che ha il  compito di fissare i principi e le norme fondamentali necessarie ad armonizzare il diritto europeo in materia di privacy, è strutturato in modo da lasciare ampi “spazi di libertà“  per ogni soggetto coinvolto: titolare, responsabile, incaricato, interessato .

In ossequio alle garanzie del rispetto dei diritti e delle libertà fondamentali dell’individuo,il GDPR si fonda su pochi ma precisi principi, primo fra tutti quello dell’accountability.

Questo significa che un’organizzazione non è chiamata solo rispondere in prima persona del rispetto del regolamento europeo dei dati personali eventualmente trattati (principio di Responsability ), ma deve anche avere un approccio Proattivo, e cioè deve anche dimostrare di avere impostato e  messo in atto, misure efficaci per garantire la piena conformità al GDPR  (principio di Accountability). Ad esempio l’organizzazione deve, in caso di Data Breach, poter dimostrare di aver fatto tutto il possibile per evitare il danno

In altre parole significa avere il pieno controllo delle cose da fare in modo tale da indirizzarle  piuttosto che adattarsi a una situazione o attendere che qualcosa accada per poi porvi rimedio.

Vediamo quali sono i punti principali del Regolamento che possono mettere in evidenza il ruolo di Responsabilità attiva di una organizzazione:

1. Che cosa è necessario fare

L’articolo 24, paragrafo 1, del GDPR afferma che:

  1. è necessario attuare misure tecniche e organizzative per garantire e dimostrare la conformità al GDPR;
  2. le misure dovrebbero essere proporzionate al  rischio  ;
  3. è necessario rivedere e aggiornare le misure secondo necessità.

Sebbene il GDPR non specifichi un elenco esaustivo delle azioni che devono essere poste in atto, indica comunque diversi interventi che si possono  aiutare a rispondere al principio di Accountability

Alcune misure sono obbligatorie, mentre altre sono considerate volontarie e dovranno essere proporzionate alla tipologia ed alla quantità dei Dati Personali gestiti come pure  al tipo di trattamento operato.

Ad esempio, se sei un’organizzazione grande e che tratta moltissimi Dati Personali, potrebbe essere un’ottima scelta quella di costruire un vero e proprio Sistema di Gestione della Privacy se è possibile integrato ad altri Sistemi presenti all’interno della Organizzazione come  quello conforme alla ISO9001:2015 (confronta ad esempio quanto riportato su questo blog nella serie di articoli dedicati a GDPR E ISO 9001:2015 NEI SERVIZI)

Se sei un’organizzazione più piccola la dimostrazione della tua Accountability potrà limitarsi ad un approccio più ridotto che comporta ad esempio:

  • garantire un buon livello di comprensione e consapevolezza della protezione dei dati tra il personale;
  • attuare politiche e procedure  proporzionate per la gestione dei Dati Personali;
  • tenere traccia di ciò che si fa e perché

2. Politica della protezione dei Dati

Il primo aspetto di attuazione del principio di Accountability è quello di stabilire una Politica di Protezione  dei Dati Personali che sia tanto più rigida e sofisticata quanto i dati trattati sono delicati (es. Dati Particolari ex Sensibili) ,  il rischio di Data Breach sia alto e le conseguenze di possibili violazioni siano significative.

Questa politica deve riguardare, in modo particolare, il grado di protezione non solo digitale ma anche per qualunque modalità di diffusione delle informazioni, non ultimo quella cartacea.

3. Approccio by Design e by Default

La privacy per design è una impostazione progettuale che da tempo è stata considerata come  un approccio di buona pratica nella creazione di nuovi prodotti, processi e sistemi che utilizzano Dati Personali.

Il GDPR richiede ora espressamente  che “la Gestione  dei Dati Personali sia effettuata in base ad una specifica Progettazione ma anche come impostazione predefinita (privacy by default) ”

Questo approccio è un elemento integrante della responsabilità. Si tratta di incorporare la protezione dei dati in tutto ciò che viene effettuato

Il GDPR suggerisce misure che potrebbero essere appropriate a questo tipo di impostazione  come quelle di minimizzare i dati raccolti, applicare tecniche di pseudonimizzazione e migliorare le caratteristiche di sicurezza;

4. La Privacy gestita Contrattualmente

Ogni volta che il Titolare si avvale di Responsabili di Trattamento è necessario che questi siano nominati ed utilizzati attraverso un incarico che definisca chiaramente le responsabilità di ciascuna parte coinvolta.

Tali incarichi devono includere almeno alcune mansioni specifiche, come quella di richiedere al Responsabile del Trattamento di adottare le misure appropriate per garantire la sicurezza del trattamento e obbligarlo a prendersi le proprie responsabilità   allorquando è necessario consentire alle persone di esercitare i propri diritti ai sensi del GDPR.

L’ assegnazione di Ruoli di Responsabilità attraverso contratti / lettere di incarico  chiari e completi, aiuta a garantire che tutti comprendano i loro obblighi di gestione  dei Dati Personali ed è un buon modo per dimostrarlo formalmente

5. Documentare i Trattamenti  

Uno degli strumenti che può aiutare a definire  il grado di  Accountability  e il Registro delle Attività. Ai sensi dell’articolo 30 del GDPR molte organizzazioni (es. quelle pubbliche e quelle private sopra i 250 dipendenti)  sono tenute a compilarlo con i trattamenti che si intendano effettuare, per quali tipologie di dati ed in quali aree dell’organizzazione

Tenere sotto controllo i vari trattamenti attraverso la documentazione delle attività su di un registro è un ottimo modo per  poter analizzare cosa ci sia da svolgere e permette di effettuare periodicamente un bilancio su come si stanno gestendo i Dati Personali.

Oltre alle registrazioni delle attività di trattamento  ai sensi dell’articolo 30, è inoltre necessario registrare altre evidenze per dimostrare la conformità con il GDPR: ad esempio tutte le attività svolte nel caso di eventuali violazioni dei Dati Personali.

6.  Misure di Sicurezza  da Adottare 

Il GDPR richiede di attuare misure tecniche e organizzative per garantire soprattutto la sicurezza dei Dati Personali trattati . Non dà indicazioni specifiche, ma richiede che tali misure dovrebbero garantire un livello di sicurezza adeguato al rischio.

Ciò significa chè è compito dell’Organizzazione mettere in atto azioni appropriate sulla base delle circostanze in cui vengono effettuati gli specifici trattamenti, valutandone l’efficacia nel rispondere alle richieste di riservatezza, l’integrità, autenticità  e la disponibilità dei dati stessi in ogni momento ritenuto necessario

7.  Gestione delle Violazioni 

L’organizzazione deve essere in grado di  rilevare, investigare, segnalare (sia internamente che esternamente) e documentare eventuali violazioni. Avere solide politiche, procedure e strutture per gestire tali tipi di situazioni è dunque molto importante

8. Valutazioni d’impatto

In molti casi GDPR richiede che sia effettuato un DPIA ogniqualvolta  un trattamento di dati può presentare un rischio elevato per i diritti e le libertà delle persone

È uno strumento essenziale in termini di responsabilizzazione in quanto aiuta l’Organizzazione  non soltanto ad essere conformi al GDPR, ma anche ad attestare di aver condotto misure idonee a garantire il rispetto del regolamento.

Infatti una esecuzione corretta di un DPIA aiuta a valutare come soddisfare i requisiti del GDPR, mentre agisce anche come prova documentata del processo decisionale seguito e dei passi intrapresi.

9. Adesioni a Codici e Certificazioni

Ai sensi del GDPR, le associazioni di categoria e gli organismi rappresentativi possono elaborare codici di condotta che coprono specifici argomenti e ai quali le aziende iscritte possono conformarsi.

Inoltre, le autorità di vigilanza o gli organismi di certificazione accreditati possono emettere la certificazione della conformità alla protezione dei dati di prodotti e servizi (vedi,  ad esempio, LA CERTIFICAZIONE GDPR DI UNA ORGANIZZAZIONE su questo blog)

Entrambi i codici di condotta e certificazione sono volontari, ma rappresentano un modo eccellente per verificare e dimostrare la conformità al GDPR.

10. Controlli e Miglioramenti

Le misure che abbiamo indicato in questo articolo sono indispensabile a sostenere un approccio responsabile alla protezione dei dati: ma non ci si può limitare a questo. E’ necessario dimostrare che i processi operativi utilizzati  permettono la conformità al GDPR : in pratica ciò significa tenere traccia di ciò che si fa  e giustificare le decisioni prese.

Questo atteggiamento è importante soprattutto quando é necessario trovare modi efficaci per fornire informazioni alle persone su ciò che si sta facendo con i loro Dati Personali.

Gli interessati  hanno il diritto di essere informati su come i loro Dati Personali vengono raccolti, perché vengono  utilizzati e con chi vengono condivisi.

Pertanto è necessario periodicamente effettuare un Audit di controllo sulle misure adottate ed eventualmente rivedere le misure applicate per garantire che rimangano efficaci

GRAZIE PER L’ATTENZIONE

 

De Martino Antonio

De Martino Antonio

Laurea in matematica presso l’Università degli Studi di Milano. Sono cresciuto professionalmente nell’ ambito della Informatica Industriale all’interno di progetti per le Telecomunicazioni e di Automazione e dal 1990 mi occupo di consulenza aziendale sia su temi di compliance normativa, di processo e di prodotto, sia su temi di gestione aziendale. Da oltre dieci anni inoltre mi occupo di argomenti legati al web ed alle vendite on line con particolare riguardo agli aspetti organizzativi, di comunicazione, di security e di Privacy Ho all’attivo interventi che riguardano più di 100 aziende sia manifatturiere sia di servizi di diverse dimensioni

Leave a Reply