Il principio dell’accountability rappresenta uno dei pilastri su cui si fonda l’impianto normativo del Regolamento Europeo 2016/679 anche noto come GDPR.
Il Regolamento, che ha il compito di fissare i principi e le norme fondamentali necessarie ad armonizzare il diritto europeo in materia di privacy, è strutturato in modo da lasciare ampi “spazi di libertà“ per ogni soggetto coinvolto: titolare, responsabile, incaricato, interessato .
In ossequio alle garanzie del rispetto dei diritti e delle libertà fondamentali dell’individuo,il GDPR si fonda su pochi ma precisi principi, primo fra tutti quello dell’accountability.
Questo significa che un’organizzazione non è chiamata solo rispondere in prima persona del rispetto del regolamento europeo dei dati personali eventualmente trattati (principio di Responsability ), ma deve anche avere un approccio Proattivo, e cioè deve anche dimostrare di avere impostato e messo in atto, misure efficaci per garantire la piena conformità al GDPR (principio di Accountability). Ad esempio l’organizzazione deve, in caso di Data Breach, poter dimostrare di aver fatto tutto il possibile per evitare il danno
In altre parole significa avere il pieno controllo delle cose da fare in modo tale da indirizzarle piuttosto che adattarsi a una situazione o attendere che qualcosa accada per poi porvi rimedio.
Vediamo quali sono i punti principali del Regolamento che possono mettere in evidenza il ruolo di Responsabilità attiva di una organizzazione:
1. Che cosa è necessario fare
L’articolo 24, paragrafo 1, del GDPR afferma che:
- è necessario attuare misure tecniche e organizzative per garantire e dimostrare la conformità al GDPR;
- le misure dovrebbero essere proporzionate al rischio ;
- è necessario rivedere e aggiornare le misure secondo necessità.
Sebbene il GDPR non specifichi un elenco esaustivo delle azioni che devono essere poste in atto, indica comunque diversi interventi che si possono aiutare a rispondere al principio di Accountability
Alcune misure sono obbligatorie, mentre altre sono considerate volontarie e dovranno essere proporzionate alla tipologia ed alla quantità dei Dati Personali gestiti come pure al tipo di trattamento operato.
Ad esempio, se sei un’organizzazione grande e che tratta moltissimi Dati Personali, potrebbe essere un’ottima scelta quella di costruire un vero e proprio Sistema di Gestione della Privacy se è possibile integrato ad altri Sistemi presenti all’interno della Organizzazione come quello conforme alla ISO9001:2015 (confronta ad esempio quanto riportato su questo blog nella serie di articoli dedicati a GDPR E ISO 9001:2015 NEI SERVIZI)
Se sei un’organizzazione più piccola la dimostrazione della tua Accountability potrà limitarsi ad un approccio più ridotto che comporta ad esempio:
- garantire un buon livello di comprensione e consapevolezza della protezione dei dati tra il personale;
- attuare politiche e procedure proporzionate per la gestione dei Dati Personali;
- tenere traccia di ciò che si fa e perché
2. Politica della protezione dei Dati
Il primo aspetto di attuazione del principio di Accountability è quello di stabilire una Politica di Protezione dei Dati Personali che sia tanto più rigida e sofisticata quanto i dati trattati sono delicati (es. Dati Particolari ex Sensibili) , il rischio di Data Breach sia alto e le conseguenze di possibili violazioni siano significative.
Questa politica deve riguardare, in modo particolare, il grado di protezione non solo digitale ma anche per qualunque modalità di diffusione delle informazioni, non ultimo quella cartacea.
3. Approccio by Design e by Default
La privacy per design è una impostazione progettuale che da tempo è stata considerata come un approccio di buona pratica nella creazione di nuovi prodotti, processi e sistemi che utilizzano Dati Personali.
Il GDPR richiede ora espressamente che “la Gestione dei Dati Personali sia effettuata in base ad una specifica Progettazione ma anche come impostazione predefinita (privacy by default) ”
Questo approccio è un elemento integrante della responsabilità. Si tratta di incorporare la protezione dei dati in tutto ciò che viene effettuato
Il GDPR suggerisce misure che potrebbero essere appropriate a questo tipo di impostazione come quelle di minimizzare i dati raccolti, applicare tecniche di pseudonimizzazione e migliorare le caratteristiche di sicurezza;
4. La Privacy gestita Contrattualmente
Ogni volta che il Titolare si avvale di Responsabili di Trattamento è necessario che questi siano nominati ed utilizzati attraverso un incarico che definisca chiaramente le responsabilità di ciascuna parte coinvolta.
Tali incarichi devono includere almeno alcune mansioni specifiche, come quella di richiedere al Responsabile del Trattamento di adottare le misure appropriate per garantire la sicurezza del trattamento e obbligarlo a prendersi le proprie responsabilità allorquando è necessario consentire alle persone di esercitare i propri diritti ai sensi del GDPR.
L’ assegnazione di Ruoli di Responsabilità attraverso contratti / lettere di incarico chiari e completi, aiuta a garantire che tutti comprendano i loro obblighi di gestione dei Dati Personali ed è un buon modo per dimostrarlo formalmente
5. Documentare i Trattamenti
Uno degli strumenti che può aiutare a definire il grado di Accountability e il Registro delle Attività. Ai sensi dell’articolo 30 del GDPR molte organizzazioni (es. quelle pubbliche e quelle private sopra i 250 dipendenti) sono tenute a compilarlo con i trattamenti che si intendano effettuare, per quali tipologie di dati ed in quali aree dell’organizzazione
Tenere sotto controllo i vari trattamenti attraverso la documentazione delle attività su di un registro è un ottimo modo per poter analizzare cosa ci sia da svolgere e permette di effettuare periodicamente un bilancio su come si stanno gestendo i Dati Personali.
Oltre alle registrazioni delle attività di trattamento ai sensi dell’articolo 30, è inoltre necessario registrare altre evidenze per dimostrare la conformità con il GDPR: ad esempio tutte le attività svolte nel caso di eventuali violazioni dei Dati Personali.
6. Misure di Sicurezza da Adottare
Il GDPR richiede di attuare misure tecniche e organizzative per garantire soprattutto la sicurezza dei Dati Personali trattati . Non dà indicazioni specifiche, ma richiede che tali misure dovrebbero garantire un livello di sicurezza adeguato al rischio.
Ciò significa chè è compito dell’Organizzazione mettere in atto azioni appropriate sulla base delle circostanze in cui vengono effettuati gli specifici trattamenti, valutandone l’efficacia nel rispondere alle richieste di riservatezza, l’integrità, autenticità e la disponibilità dei dati stessi in ogni momento ritenuto necessario
7. Gestione delle Violazioni
L’organizzazione deve essere in grado di rilevare, investigare, segnalare (sia internamente che esternamente) e documentare eventuali violazioni. Avere solide politiche, procedure e strutture per gestire tali tipi di situazioni è dunque molto importante
8. Valutazioni d’impatto
In molti casi GDPR richiede che sia effettuato un DPIA ogniqualvolta un trattamento di dati può presentare un rischio elevato per i diritti e le libertà delle persone
È uno strumento essenziale in termini di responsabilizzazione in quanto aiuta l’Organizzazione non soltanto ad essere conformi al GDPR, ma anche ad attestare di aver condotto misure idonee a garantire il rispetto del regolamento.
Infatti una esecuzione corretta di un DPIA aiuta a valutare come soddisfare i requisiti del GDPR, mentre agisce anche come prova documentata del processo decisionale seguito e dei passi intrapresi.
9. Adesioni a Codici e Certificazioni
Ai sensi del GDPR, le associazioni di categoria e gli organismi rappresentativi possono elaborare codici di condotta che coprono specifici argomenti e ai quali le aziende iscritte possono conformarsi.
Inoltre, le autorità di vigilanza o gli organismi di certificazione accreditati possono emettere la certificazione della conformità alla protezione dei dati di prodotti e servizi (vedi, ad esempio, LA CERTIFICAZIONE GDPR DI UNA ORGANIZZAZIONE su questo blog)
Entrambi i codici di condotta e certificazione sono volontari, ma rappresentano un modo eccellente per verificare e dimostrare la conformità al GDPR.
10. Controlli e Miglioramenti
Le misure che abbiamo indicato in questo articolo sono indispensabile a sostenere un approccio responsabile alla protezione dei dati: ma non ci si può limitare a questo. E’ necessario dimostrare che i processi operativi utilizzati permettono la conformità al GDPR : in pratica ciò significa tenere traccia di ciò che si fa e giustificare le decisioni prese.
Questo atteggiamento è importante soprattutto quando é necessario trovare modi efficaci per fornire informazioni alle persone su ciò che si sta facendo con i loro Dati Personali.
Gli interessati hanno il diritto di essere informati su come i loro Dati Personali vengono raccolti, perché vengono utilizzati e con chi vengono condivisi.
Pertanto è necessario periodicamente effettuare un Audit di controllo sulle misure adottate ed eventualmente rivedere le misure applicate per garantire che rimangano efficaci
GRAZIE PER L’ATTENZIONE
Commenti recenti