Indice dei contenuti
Il termine “accountability” è diventato sempre più importante in ambito sia pubblico che privato e viene di volta in volta definito come “responsabilizzazione” e “capacità di rendicontazione” delle attività svolte. Entrambi questi temi sono diventati centrali con il GDPR.
Possiamo dire, infatti, che nella revisione delle norme europee in materia di protezione dei dati personali si sono confrontati due approcci: quello del nord Europa, basato appunto sulla “autonoma valutazione” del Titolare del trattamento rispetto alle misure da adottare per proteggere i dati personali, e quello di altri Paesi, tra cui l’Italia, orientato alla previsione di elenchi di misure da adottare (vedi il DPR 318/1999 e l’Allegato B del Codice in materia di protezione dei dati personali).
Il GDPR ha sposato la prima impostazione, cioè quella basata sul rischio e sull’accountability (responsabilizzazione) di titolari e responsabili.
Cosa cambia per la tua azienda
Come ribadito dallo stesso Garante privacy, il Regolamento pone con forza l’accento sulla “responsabilizzazione” (accountability nell’accezione inglese) di titolari e responsabili, ossia sull’adozione di comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione del Regolamento.
Dunque, viene affidato ai titolari il compito di decidere autonomamente le modalità, le garanzie e i limiti del trattamento dei dati personali – nel rispetto delle disposizioni normative e alla luce di alcuni criteri specifici indicati nel Regolamento:
- “Data protection by default and by design“, ossia la necessità di configurare “a monte” il trattamento prevedendo fin dall’inizio garanzie e misure adeguate, tenendo conto del contesto complessivo ove il trattamento si colloca e dei rischi per i diritti e le libertà degli interessati. Ciò richiede un’analisi preventiva e un impegno che si concretizza in una serie di attività specifiche e dimostrabili/tracciabili;
- Analisi del rischio inerente al trattamento. Tramite un apposito processo che porti ad identificare adeguate misure tecniche e organizzative. Il Processo si concretizza nell’Analisi dei rischi e – dove ne ricorrano i presupposti, nella valutazione di impatto sulla protezione dei dati (DPIA).
In questo quadro, l’intervento delle autorità di controllo sarà principalmente “ex post”, cioè si collocherà successivamente alle determinazioni assunte autonomamente dal titolare.
Cosa fare per adeguarsi all’accountability
Emergono due profili, tra di loro strettamente collegati, che ci devono guidare sia nel fare quanto necessario che nel dare adeguata evidenza del percorso seguito, in modo da costruire preventivamente la “prova” da portare all’attenzione delle autorità di controllo:
- Adottare procedure che permettano di tracciare i ragionamenti che hanno portato a prendere una determinata decisione circa le misure da adottare o i comportamenti/trattamenti dai quali astenermi;
- Adottare misure adeguate a prevenire i rischi che avrò identificato, motivando perché tali misure possano essere definite adeguate;
- Progettare i trattamenti in modo da consentire la gestione informatizzata, tracciabile e in tempo reale dei rapporti con i soggetti di cui tratto i dati personali, ivi comprese le modalità di esercizio dei diritti da parte dell’interessato.
Tali principi hanno trovato immediata applicazione nei provvedimenti dei Garanti Europei che sono entrati nel merito della progettazione dei trattamenti e dei software ad essi collegati (vedi numerosi provvedimenti relativi alla sanità pubblica e privata), nonché della presenza o meno di applicativi finalizzati all’adeguata gestione dei dati personali, dei consensi al trattamento e della gestione dell’esercizio dei diritti (vedi ad esempio i casi Pampers e Mediaworld).
I professionisti di Neostudio possono supportarti grazie alla consulenza in privacy e GDPR, sia per identificare delle misure adeguate che per identificare quelle configurazioni in grado di coniugare l’esperienza dell’utente e compliance al GDPR.