Home » GDPR 679/2016 » Gdpr, accountability questa sconosciuta: i 10 comandamenti per rispettarla

Accountability, la definizione dell’authority UK

Una delle definizioni più pregnanti di questo concetto è rinvenibile nel sito dell’Information Commissioner’s Office (ICO) – l’Autorità di controllo inglese:

“Accountability is not a box-ticking exercise. Being responsible for compliance with the GDPR means that you need to be proactive and organised about your approach to data protection, while demonstrating your compliance means that you must be able to evidence the steps you take to comply”.

“L’accountability non consiste in una mera spunta di caselle. Una compliance responsabile al GDPR significa essere proattivi e avvicinarsi alla protezione dei dati personali secondo modalità strutturate. Per contro, dar prova della propria compliance significa essere in grado di dimostrare i passi che vengono intrapresi per rendersi compliant”.

Il Titolare sarà, quindi, “accountable”, se riuscirà a dar conto:

● di quello che fa

● del perché lo fa

● di come lo fa

lungo tutto un processo che inizia dalla fase di progettazione del trattamento, attraverso un approccio strutturato, dimostrando competenza e capacità gestionale.

L’attività posta in essere dall’Information Commissioner’s Office inglese, guidato dal 2016 da Elisabeth Denham, e perseguita anche in futuro – indipendentemente da quelli che saranno gli sviluppi della Brexit – è probabilmente il punto di partenza più autorevole per procedere all’analisi del significato e della portata dell’accountability.

 Nel corso della Data Protection Pratictioners’ Conference, tenutasi a Manchester l’8 aprile scorso, Elisabeth Denham – rivolgendosi a un parterre internazionale di 800 Privacy Officers – ha più volte sottolineato che “L’accountability è la sintesi di tutto ciò che riguarda il GDPR. È quel principio di legge che prefigura per le aziende l’onere di comprendere e di diventare consapevoli circa i rischi che possono far correre alle persone, trattando i loro dati e il correlato dovere di mitigare tali rischi.” [1]

Il Garante inglese ha altresì evidenziato come “un approccio che prenda le mosse dall’accountability non può che fornire a chi ha nozioni necessarie e passione un’occasione per vedere cambiare il mondo e un’opportunità per lasciare un segno in questo processo”.

Le 10 azioni da intraprendere

  1. “Adozione e implementazione di policy a tutela dei dati personali” ossia proceduralizzazione, registrazione delle operazioni di trattamento, previa una esatta mappatura dei trattamenti effettuati. Le singole policy potranno essere più o meno stringenti e rigorose in relazione al volume e alle categorie di dati trattati e alla dimensione dell’organizzazione.
  2. “Adozione di un approccio basato sui principi della privacy by design e della privacy by default” durante tutto il ciclo di vita dei trattamenti. Un mero monitoraggio dei trattamenti in essere non è sufficiente. Occorrerà prestare una costante attenzione, volta all’individuazione di nuovi trattamenti per renderli privacy-oriented. Un esempio delle possibili conseguenze in caso contrario ci è dato dalla vicenda che ha portato alla sanzione nei confronti del Norfolk County Council.
  3. Definizione e regolamentazione scritta dei rapporti con i Responsabili esterni del trattamento”. L’espressa esclusione di una natura puramente formalistica dell’approccio al GDPR porta ad escludere che i contratti con i Responsabili esterni possano essere mere riproduzioni dei requisiti prescritti dall’art. 28, favorendo invece una redazione ad hoc di tali documenti, avuto riguardo al contenuto del rapporto in essere e con particolare (ma non esclusivo) riferimento alle misure tecniche e organizzative, senza tralasciare la verifica di eventuali trasferimenti di dati verso Paesi extra UE.
  4. Conservazione dei documenti comprovanti le attività di trattamento di dati personali”. Nonostante il dibattito dottrinario circa la necessità minimizzazione della produzione documentale, a parere di chi scrive e alla luce della situazione delineatasi, l’opzione documentale rimane la soluzione preferibile, anche in una prospettiva assicurativa. La stessa Autorità garante inglese torna più volte sul punto, insistendo in particolar modo su registro dei trattamenti e dedicando una apposita sezione del proprio sito ai documenti consigliati [4] e alle best practices relative. Ugualmente l’EDPS in numerosi documenti e linee guida.
  5. Implementazione di misure di sicurezza adeguate” in relazione alle categorie di dati trattati e alla tipologia di trattamenti effettuati.
  6. “Registrazione e, se necessario, comunicazione di eventi di Data Breach”.
  7. “Effettuazione di una valutazione di impatto, nel caso in cui il trattamento di dati personali possa implicare un alto rischio per i diritti e le libertà degli interessati”.
  8. “Nomina di un Data Protection Officer” se necessario e, se possibile,
  9. “Adesione a codici di condotta o a schemi di certificazione”.
  10. “Monitoraggio, aggiornamento delle misure poste in essere e creazione di una cultura della privacy all’interno della propria organizzazione”.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Name
Email
Website

PLUS S.a.s

Sede Legale: Via della Biscia, 174 - 35136 Padova (PD)
Sede Operativa: Via Sacro Cuore 5, 35135 Padova
P.I. e C.F. 04952220285

Resp. Commerciale

Dr.ssa Papa Serena
cell. 338-1348107
serena.papa@plussas.it

Resp. Tecnico

Ing. Urbani Pier Luigi
cell. 3483216178
pierluigi.urbani@plussas.it

Altri contatti

e-mail: info@plussas.it 
PEC: plus@pec.plussas.it