Il contesto innanzitutto: la nascita del GDPR
Le innovazioni connesse alla rivoluzione digitale e allo sviluppo capillare di nuovi livelli di intelligenza artificiale hanno portato a un cambiamento assoluto dei mercati globali. Questo procede necessariamente di pari passo con la previsione di regole e tutele appropriate, in grado di bilanciare le esigenze e le peculiarità dei vari settori e dei suoi attori che operano quotidianamente nel tessuto socioeconomico.
All’interno di questo contesto, sul piano europeo si è avvertita fin dal primo momento la necessità di dettare regole uniche e direttamente applicabili negli Stati membri, volte alla creazione di un mercato interno unico digitale, in grado di tutelare compiutamente gli utenti ed utilizzatori del Web. L’esigenza era proprio quella di poter contare su un impianto normativo che consentisse l’utilizzo di dati di varia natura al fine di generare flussi utili allo sviluppo di un’economia sovranazionale.
La risposta a queste richieste ha trovato la sua realizzazione nel 2016, con il Regolamento 2016/679, noto come Regolamento Generale sulla protezione dei dati personali dell’Unione europea (General Data Protection Regulation o, più semplicemente, GDPR).
SCARICA LA GUIDA COMPLETA AL GDPR
Il GDPR ha portato in maniera adeguata sugli scenari attuali di mercato, norme e principi che regolano il trattamento dei dati personali.
Partendo dall’assunto che, nel panorama normativo europeo, la protezione dei dati personali assume la valenza di diritto fondamentale della persona, il GDPR si preoccupa di rafforzare al massimo gli strumenti di protezione dell’utilizzatore del Web. In particolare, il focus è rivolto alla tutela di colui che mette in circolazione sé stesso in rete, attraverso i suoi dati. Per farlo, il legislatore europeo ricorre al principio di Accountability.
Cos’è l’Accountability?
Il significato di Accountability (traducibile letteralmente dall’inglese in “essere in grado di dar conto”) nel contesto del GDPR riguarda il sapere rispondere e rendere conto dei risultati ottenuti o di quanto sia stato fatto in merito al trattamento dei dati personali.
Alla domanda si può quindi rispondere correlando la nozione di Accountability a quella di responsabilità. Responsabilità intesa come dimostrazione di come sia stata esercitata concretamente e perciò implica la possibilità di verificare in che modo ci si è comportati per essere compliant al Regolamento.
Inoltre, l’Accountability prevede la capacità di aver pianificato, mediante policy e tecnologie efficaci, quanto necessario per evitare rischi di compromissione dei dati.
QUALI SONO LE REGOLE DI ACCOUNTABILITY? LEGGI IL BLOG!
Gli obblighi del titolare del trattamento
Il principio di “Accountability” è uno dei pilastri del Regolamento sulla protezione dei dati (GDPR) in Europa. Tale principio è alla base di tutto il sistema di compliance al quale il titolare del trattamento è tenuto ad adeguarsi.
In virtù del principio di Accountability, infatti, il Regolamento dispone all’art.24 che il titolare del trattamento adotti misure tecniche ed organizzative adeguate volte a garantire e dimostrare che il trattamento dei dati personali effettuato è conforme allo stesso Regolamento.
Il titolare deve essere quindi in grado di spiegare l’efficacia delle misure adottate e di illustrare le metodologie di sicurezza prescelte. Questo corrisponde all’enunciazione del modello di privacy implementato, nonché all’identificazione delle tipologie di dati personali trattati e agli eventuali problemi suscitati dal loro trattamento.
I 3 fattori chiave dell’Accountability
I presupposti fondamentali sono l’affidabilità e le competenze (oltre a giudizio e capacità decisionale), tali da poter gestire i dati personali in modo corretto e adeguato.
Per questo il principio di Accountability poggia su 3 elementi chiave:
#1 Trasparenza. Ogni azienda deve offrire la garanzia della completa accessibilità alle informazioni di cui è in possesso.
#2 Responsività. Intesa come la capacità di rendere conto di scelte, comportamenti e azioni e di rispondere alle questioni poste dagli stakeholder dell’organizzazione.
#3 Compliance. La capacità di far rispettare leggi e regole di comportamento predefinite all’interno dell’azienda.
Come attuare il principio di responsabilizzazione (GDPR Accountability)
Uno spunto importante è offerto proprio dall’Articolo 25, laddove emergono due importanti principi, capisaldi entrambi del Regolamento:
- Privacy by design
- Privacy by default
Il primo stabilisce che sin dalla fase di progettazione di un prodotto o di un servizio è necessario tutelare la privacy degli utenti.
Il secondo sancisce invece l’obbligo per le organizzazioni di trattare solo i dati personali necessari e sufficienti per ogni specifica finalità del trattamento e solo per l’arco di tempo necessario per tale scopo.
L’Accountability, quindi, si colloca a fondamento sia della progettazione sia della definizione del perimetro in cui ricadono gli obblighi del titolare del trattamento.
Per conoscere quali sono le altre figure previste nel regolamento GDPR, oltre al titolare del trattamento, scarica il whitepaper che spiega in dettaglio come adeguarsi alla normativa.
GDPR e Industry 4.0
L’Accountability è un principio fondamentale da mettere in pratica anche grazie all’aiuto delle nuove tecnologie portate da Industry 4.0. È importante sapere infatti che oggi esistono utili e innovativi tool che aiutano il titolare a rispettare tale indicazione del regolamento europeo.
Con il supporto dei propri esperti legali o anche chiedendo un aiuto al DPO, il titolare del trattamento potrà servirsi di soluzioni automatizzate per mettere in pratica l’Accountability.
Ecco il pacchetto di servizi per essere conforme e proteggere i tuoi dati:
Cosa devono fare le organizzazioni per dimostrare la responsabilità delle loro attività di elaborazione dei dati?
Il principio di Accountability mira a garantire il rispetto dei Principi di Protezione dei Dati. Implica un cambiamento culturale che sostiene la protezione trasparente dei dati, le politiche sulla privacy e il controllo degli utenti, la chiarezza interna e le procedure per rendere operativa la privacy e la responsabilità dimostrabile nei confronti delle parti interessate esterne e delle autorità di protezione dei dati.
Un cambiamento culturale e organizzativo
Una solida struttura di governance è essenziale per standardizzare la privacy e sviluppare la privacy by design e default. Per creare un cambiamento culturale e organizzativo per la conformità al GDPR all’interno della tua organizzazione, il consenso delle parti interessate è di fondamentale importanza.
Attraverso lo sviluppo di linee guida interne per i dipendenti, è possibile garantire il rispetto degli obblighi di legge in materia. Incorporare programmi di formazione e sensibilizzazione per tutti coloro che saranno coinvolti nel trattamento dei dati personali. La tua organizzazione può anche prendere in considerazione l’adesione a un codice di condotta del settore o la creazione di linee guida interne e un processo di revisione per l’analisi dei dati.
Sei conforme al GDPR? Non rischiare una sanzione! Consulta la nostra pagina dedicata.