Cosa significa accountability nel GDPR?
Tra le novità introdotte dal GDPR, particolare importanza assume il concetto di accountability del titolare del trattamento.
In base a questo principio il titolare del trattamento ha l’obbligo di:
- Adottare le misure di sicurezza che ritiene più adeguate alla tutela dei dati personali;
- Rendicontare tali misure e quindi fornire la prova di averle adottate.
Mentre il Codice Privacy 196/2003 (allegato B) prevedeva le misure minime di sicurezza, il GDPR non contiene un analogo elenco di specifiche misure utili a scongiurare, se applicate, eventuali sanzioni.
Il GDPR rimette invece alla responsabilità del titolare del trattamento l’adozione delle misure tecniche e organizzative che ritiene più adeguate per garantire un livello di sicurezza adeguato al rischio.
Viene quindi abbandonato l’approccio formale che ha caratterizzato la gestione della privacy negli anni precedenti a favore di un approccio pratico, cioè dell’adozione di comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione del regolamento.
Il registro delle attività di trattamento.
Il principale strumento di accountability introdotto dal GDPR è il registro delle attività di trattamento, un documento fondamentale che consente di disporre di un quadro aggiornato dei trattamenti in essere all’interno dell’organizzazione.
Il registro delle attività di trattamento può essere definito come la rappresentazione dei trattamenti di dati personali effettuati da un titolare del trattamento (un’impresa, un professionista, un’associazione, un ente, ecc.).
Oltre a consentire una completa ricognizione dei trattamenti, il registro è anche lo strumento idoneo per l’analisi dei rischi e la valutazione delle misure che il titolare ritiene di dover adottare per ridurre l’eventuale rischio se questo risultasse alto.
L’analisi dei rischi dovrà essere condotta facendo riferimento:
- al contesto: con particolare riguardo alla struttura organizzativa, ruoli e responsabilità; alle policy; alle risorse utilizzate per i trattamenti; alla cultura dell’organizzazione, ecc.
- alla tipologia di trattamenti: che tipologie di dati personali sono trattati? Per quali finalità? Quali risorse sono utilizzate? Quali sono le categorie di interessati? A chi sono comunicati i dati? Dove sono conservati i dati?
Le misure di sicurezza.
Se a conclusione dell’analisi dei rischi dovesse risultare un rischio medio o alto, l’azienda dovrà adottare ulteriori misure di sicurezza utili ad abbassare il livello di rischio.
Volendo semplificare, le misure di sicurezza si distinguono in:
- misure organizzative, ad esempio: procedure per la gestione dei dati o per l’uso dei dispositivi, sensibilizzazione e formazione del personale, istruzioni chiare e precise, pianificazione di controlli interni, ecc.
- misure tecniche, quali la manutenzione dei sistemi, protezioni dai malware, test sui backup, autenticazione degli utenti, gestione delle autorizzazioni, tracciamento degli accessi, cifratura e pseudonimizzazione; protezione delle banche dati, ecc.
La capacità di rendicontare.
Accountability è anche la capacità di rendicontare, cioè in caso di controlli, l’imprenditore dovrà essere in grado di dimostrare la fondatezza delle sue scelte e documentarle.
Ciascun titolare del trattamento dovrà dimostrare di aver individuato i trattamenti effettuati, di aver svolto un’analisi dei rischi e dovrà spiegare i motivi per cui ha ritenuto di adottare determinate misure di sicurezza e non altre come risposta adeguata al rischio.
È quindi nell’autonomia della scelta delle misure tecniche e organizzative da adottare nel caso concreto per proteggere i dati personali e nella capacità di motivare la bontà di tali scelte che si manifesta la novità più importante introdotta dal GDPR.