Accountability First: trattare i dati responsabilmente

 Il concetto di accountability, purtroppo, è diventato più una tecnica di vendita che un argomento di discussione. In sostanza, ogni consulenza GDPR-oriented viene giustificata dal concetto di accountability come risposta universale e polivalente alla domanda "Ma a cosa ci serve fare [...]?"

Ebbene, l'art. 24 GDPR, parlando di Responsabilità del titolare del trattamento, precisa al primo paragrafo che questi debba adottare "misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente" al GDPR. L'adeguatezza di dette misure è (auto)valutata considerando natura, ambito di applicazione, contesto e finalità del trattamento, nonché i rischi per i diritti e le libertà delle persone fisiche.

Orbene, la formula del dover essere in grado di dimostrare è spesso impiegata per giustificare copiose produzioni cartacee, spesso scollegate dall'effettività che la norma richiamata vorrebbe perseguire, unitamente al principio di responsabilizzazione richiamato dall'art. 5.2 GDPR.

Essere in grado di comprovare i propri obblighi comporta, a titolo esemplificativo, la scelta di:
  • attuare politiche in materia di protezione dei dati personali (art. 24.2 GDPR);
  • aderire a codici di condotta o ad un meccanismo di certificazione (art. 24.3 GDPR);
nonché ogni altra che abbia come obiettivo la garanzia di conformità al GDPR delle attività di trattamento svolte.

Accountability first significa progettare (PLAN), attuare (DO) e riesaminare (CHECK) tali misure per effettuare interventi correttivi (ACT). L'approccio così brevemente esaminato produce evidenze di conformità, le quali si riscontrano a valle in una effettiva garanzia di tutela dei diritti e delle libertà degli interessati, nonché in un elevato livello di sicurezza delle attività di trattamento svolte.

Essere GDPReady è...accountability first.

Commenti