Accountability, GDPR e informatica: cosa devi fare
29 Gennaio 2020 in Governance Risk & Compliance As a Service - GRC360
L’accountability, come definita dal GDPR, è un principio fondamentale, da mettere in pratica anche grazie all’aiuto della tecnologia 4.0. Indicata come una delle colonne portanti del regolamento europeo, l’accountability consiste nel fatto che il titolare del trattamento non solo mette in pratica metodi di trattamento dei dati corretti, ma è anche in grado di comprovare di aver agito in compliance con il regolamento. È importante sapere che oggi esistono utili e innovativi tool che aiutano il titolare a rispettare tale indicazione del regolamento europeo.
Chi deve pensare all’accountability nel GDPR
Tool informatici e soluzioni digitali costituiscono un valido aiuto per attuare la compliance al GDPR e garantire quindi l’accountability. La normativa spiega esplicitamente che la competenza in materia di accountability è del titolare del trattamento e proprio lui, ribadiamo, deve anche poter comprovare di aver concretamente applicato i principi del Regolamento europeo.
Con il supporto dei propri esperti legali (o anche chiedendo un aiuto al DPO, che per il GDPR può supportare il titolare nell’espletamento delle sue funzioni se questi glielo chiede) il titolare del trattamento potrà servirsi di tool informatici adeguati per essere guidato e mettere in pratica l’accountability. Importante è essere indirizzati sui percorsi giusti da seguire, avendo la certezza di non trascurare gli aspetti rilevanti per il GDPR. Proprio per sottolineare quanto sia fondamentale ricorrere a soluzioni automatizzate, le stesse autorità internazionali che hanno il compito di vigilare sulla data protection sono intervenute, offrendo proprie tecnologie – dunque rigorosamente compliant. La Cnil, l’autorità francese, ha rilasciato un tool guidato per svolgere la DPIA in modo corretto in caso si debba svolgere l’assessment sui trattamenti ad alto rischio. Invece Enisa – l’agenzia europea per la cyber security, ha predisposto un tool che aiuta a notificare i data breach alle autorità senza commettere errori.
Accountability e informatica, gli strumenti giusti
Oltre a queste soluzioni messe a disposizione dalle istituzioni, in azienda il titolare del trattamento potrà adottare qualche stratagemma tecnologico per non aver problemi a dimostrare la propria accountability GDPR. Indispensabile un repository per tenere traccia in modo preciso di tutta la documentazione relativa alla data protection, in modo da avere il tutto facilmente a disposizione. Il cloud viene in aiuto permettendo di accedere ai documenti anche da remoto, consentendo una rapida risposta alle eventuali richieste delle autorità o in caso di audit.
Importante disporre di un tool idoneo per la tenuta del registro dei trattamenti, non solo in ottica accountability ma anche per non sbagliare nel compilare tale documento (e dunque rischiare sanzioni).
I normali software di videoscrittura non vanno bene: serve uno strumento sicuro e ideato appositamente per lo scopo. Utile un sistema di alert che avvisino il titolare, il responsabile, il DPO e i vari incaricati, ricordando loro che è necessario aggiornare il registro. Il GDPR prevede infatti che i dati siano sempre aggiornati: un’agenda cartacea o un post-it possono essere decisamente meno efficaci rispetto a un avviso scritto e sonoro che compare sul proprio desktop.
A proposito di incarichi, è bene definire un organigramma privacy interno, con tutti i ruoli definiti: in seguito, garantire un sistema di accessi informatici personalizzati a seconda dell’incarico che si ricopre.
Non solo accountability nel GDPR: privacy by design e by default
Ovviamente, è indispensabile in un’ottica di accountability rispettare anche tutti gli altri principi del GDPR, mettendoli in pratica. La protezione dei dati deve essere implementata con soluzioni tecnologiche by design e by default. In ottica accountability GDPR bisogna poi essere in grado di dimostrare di aver attuato tali strategie: in questo senso si possono conservare i report relativi ai test e alla validazione dei sistemi di cyber security.
La formazione e l’accountability nel GDPR
Tuttavia, è importante anche mettere l’azienda al riparo da possibili errori operativi. Ecco quindi che l’attività di formazione rappresenta un ottimo strumento di accountability: insegnare ai propri dipendenti come non fare errori in materia di data protection, certificando le ore e avvalendosi di esperti, concorre nel dimostrare la propria buona volontà nel gestire la privacy. Dotarsi di piattaforme di e-learning rende più agevole lo svolgimento di tale attività, permettendo anche di analizzare risultati, condurre test e tenere traccia di quanto fatto.
Paolo Calvi – Data Protection Officer