Accountability… la Privacy e le nuove responsabilità introdotte dal GDPR

 

L’Accountability (Responsabilizzazione) delle organizzazioni nella gestione della Privacy è una delle grandi novità introdotte dal GDPR.

Cosa significa “Accountability” in concreto?

Il concetto di Accountability è così lontano dalla cultura italiana, che non vi è nemmeno un termine con cui fare la traduzione.

L’Accountability non è una semplice responsabilizzazione, è una responsabilizzazione riferita ad uno specifico obiettivo. In termini di applicazione della norma è un ribaltamento a 180° gradi.

L’approccio di fronte ad una nuova normativa spesso è: interpellare un consulente, individuare una figura interna cui delegare la patata bollente, ottenere una lista di azioni da fare, farle confidando che sia sufficiente per essere a norma, dimenticarsene.

Il GDPR con il Principio dell’Accountability complica le cose, trasformando il processo di messa a norme, da qualcosa di puntuale e statico a qualcosa di ripetitivo e costante.

Il legislatore al contrario del passato non dice alle organizzazioni cosa fare, bensì dove arrivare. Viene assegnato al Titolare del trattamento il compito di decidere autonomamente le modalità, le garanzie e i limiti del trattamento dei dati personali, all’interno dei confini tracciati dal GDPR.

Gli obiettivi del Principio di Accountability sono:

  1. Coinvolgimento del top management e chiara catena delle responsabilità. Il Titolare del Trattamento (es. l’Amministratore Delegato, il Presidente ecc..) ha specifici obblighi e responsabilità, e se pur assistito dal Responsabile del Trattamento, è fortemente coinvolto nel processo.
  2. Privacy by design and by default”: La gestione del dato deve essere pianificata e non subita, l’approccio deve essere proattivo ed efficiente, attraverso una definizione attenta dell’architettura interna, del perimetro di gestione del dato e dei flussi interni all’organizzazione.
  3. Passaggio da un sistema statico ad uno dinamico. Non basterà definire Politiche di Privacy e metterle in atto per essere in regola. Processi e strumenti dovranno essere costantemente aggiornati e riallineati in un percorso continuo di implementazione delle politiche di Privacy.
  4. Data Breach: la sicurezza del dato in termini di violazione, divulgazione o perdita deve divenire massima.

Ma cosa significa coinvolgimento del Top management?

Il messaggio che la normativa vuole dare al Top management è: “la protezione dei dati ti riguarda personalmente. La protezione dei dati non è una formalità, che può essere semplicemente delegata a dei sottoposti”.

Il Principio dell’Accountability pretende un impegno attivo e costante da parte del Titolare del Trattamento (data controller) sia prima che dopo aver definito le policy sulla privacy.

Il Titolare pur affidandosi a sottoposti (Responsabili e Incaricati del trattamento) non potrà limitarsi a delegare totalmente la materia della Privacy ma dovrà tenere contatti regolari di aggiornamento e innescare comportamenti proattivi di stimolo e sostegno alle prassi di data protection. Creare dei Report periodici e Policy, dare un adeguato sostegno morale e finanziario all’implementazione delle procedure.

Il Titolare incarica uno o più Responsabili del trattamento. L’azione di incarico va oltre la semplice Lettera d’incarico prevista dall’attuale normativa. Il GDPR prevede la sottoscrizione di un contratto che vincoli il Responsabile del Trattamento e quest’ultimo potrà gestire “i dati personali soltanto su istruzione documentata”.

Entrrando nel merito del Regolamento: The controller shall be responsible for, and be able to demonstrate compliance with, paragraph 1 (‘Accountability’). La traduzione ufficiale è: Il titolare del trattamento è competente per il rispetto del paragrafo 1 e in grado di comprovarlo (art. 5 Paragrafo 2). 

Il paragrafo 1 elenca i “Principi applicabili al trattamento di dati personali” (art. 5) di cui il Titolare è ritenuto responsabile.

I dati personali devo essere:

a)  trattati in modo lecito, corretto e trasparente nei confronti dell’interessato («liceità, correttezza e trasparenza»);

b)  raccolti per finalità determinate, esplicite e legittime.. («limitazione della finalità»);

c)  adeguati, pertinenti e limitati («minimizzazione dei dati»);

d)  esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati («esattezza»);

e) conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati… («limitazione della conservazione»);

f) garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali («integrità e riservatezza»).

Ed infine, 2 concetti chiave:

  • Protezione proattiva dei dati significa che le decisioni devono essere prese in anticipo, incorporandola nella pianificazione futura della gestione dei rischi.
  • Protezione efficace dei dati significa che deve agire a vantaggio degli interessati. Le organizzazione otterranno vantaggi in termini di reputazione, gestione e sicurezza applicando il GDPR ma l’obiettivo primario ricercato dal legislatore non è interno ma esterno all’organizzazione, poichè il principale interessato e beneficiario deve essere la persona fisica, il cui dato viene trattato. Fonte

Data protection by design and by default

La traduzione ufficiale è: “Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita” (art. 25).

Al fine di poter dimostrare la conformità con il presente regolamento, il titolare del trattamento dovrebbe adottare politiche interne e attuare misure che soddisfino in particolare i principi della protezione dei dati fin dalla progettazione (by design) e della protezione dei dati di default.

La protezione dei dati deve essere progettta a monte, ipotizzando la possibile gestione ottimale del trattamento del dato. Tale disegno andrebbe ottimizzato non sulla propria specifica realtà organizzativa ma con l’obiettivo di garantire la massima protezione per la persona fisica, di cui i dati vengono trattati, intervenendo ove necessario a modificare lo status quo interno, cambiando procedure, policy, livelli autorizzativi e standard di sicurezza.

Passaggio da un sistema statico ad un dinamico

La continua evoluzione della tecnologia; le tecniche di marketing basate sui big data, geolocalizzazione dei dispositivi, studi comportamentali, profilazione; le sfide in termini di sicurezza  sono tutti fattori che hanno suggerito al legislatore di creare, piuttosto di uno schema di adempimenti, un sistema di comportamenti adeguati e dinamici, che tenendo conto delle singole realtà e della entità dei trattamenti dei dati, vengano definiti e implementati dal Titolare, che ne è responsabile sia per la progettazione che il continuo mantenimento.

Riguardo le misure di sicurezza ad esempio l’Art. 32 dice:

Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso”.

L’articolo 32 evidenzia una serie di variabili (Tenendo conto…), i responsabili delle scelte (Il titolare e il responsabile del trattamento), le azioni (mettono in atto misure tecniche e organizzative), il come (adeguate, non minime), il fine (garantire un livello di sicurezza adeguato al rischio).

L’articolo 32 prosegue con una lista di azioni idonee ma non vuole essere esaustivo (“tra le altre, se del caso”).

Persino lo stesso intervento delle autorità di controllo è principalmente “ex post”, collocandosi successivamente alle scelte del titolare. Facendo un esempio, forse forzato, sarebbe come se il l’ufficio tecnico comunale desse l’autorizzazione a costruire un nuovo immobile successivamente alla sua edificazione, sanzionando eventuali difformità, piuttosto che autorizzare preventivamente i piani di lavoro.

In concreto questo cambio di prospettiva comporta l’abolizione di alcuni istituti, come la “Notifica Preventiva dei Trattamenti” al Garante e il cosiddetto prior checking (o verifica preliminare: Art. 17 Codice).

La novità sono quindi adempimenti posteriori quali l’obbligo di tenuta di un “Registro dei trattamenti” da parte del titolare/responsabile e di valutazioni di impatto, fatte autonomamente. Vedi le Linee guida

Data Breach – Notifica delle violazioni di dati personali

Il GDPR estende un obbligo, oggi previsto solo per i fornitori di servizi di comunicazione elettronica accessibili al pubblico, anche ai Titolaricge dovranno notificare all’Autorità di controllo le violazioni (Data Breach) “senza ingiustificato ritardo”, entro 72 ore. Anche la notificazione è soggetta alla responsabilità del Titolare, che valuterà autonomamente se archiviarla o segnalarla.

La Notifica sarà effettuata solo se ritenuta lesiva dei diritti e delle libertà degli interessati (considerando 85). Guarda il Modello messo a disposizione del garante per i fornitori di servizi elettronici.

Se vuoi approfondire ulteriori aspetti riguardo al GDPR, li trovi qui.