Accountability GDPR: come dimostrare che il proprio sistema privacy funzioni
24 Giugno 2021
Il concetto di responsabilizzazione
Quante volte abbiamo incontrato il termine “accountability” leggendo articoli o documenti legati alla legge privacy ?
Questo termine ha un’importanza spesso sottovalutata: rappresenta infatti la sostanza vera del GDPR poiché ribalta la visione del previgente Codice Privacy (D. Lgs. 196/2003), in cui venivano dettate in modo prescrittivo procedure e misure di sicurezza minime da applicare a protezione dei dati personali trattati.
Accountability è stato tradotto giustamente in responsabilizzazione, ovvero l’onere del Titolare di individuare e comprendere i rischi e le criticità dei trattamenti effettuati e quindi decidere in autonomia come attivarsi per mettere tutti i processi in sicurezza e riportare il rischio in una fascia accettabile. A questo concetto va però aggiunto un vincolo fondamentale e imprescindibile che impone al soggetto che tratta i dati di essere in grado di dimostrare che quanto messo a punto in teoria, funzioni anche a livello pratico.
Più corretto, perciò, parlare di un sistema di gestione che lavori a 360° e vada a coprire tutti gli aspetti legati alla legge privacy: dalla progettazione dei sistemi (privacy by design e by default) allo sviluppo documentale, dalla valutazione d’impatto alla formazione del personale.
Accountability come sistema di gestione
Non basta quindi che il Titolare abbia redatto un documento formale “di facciata” in cui riporta un Registro dei trattamenti, un’analisi dei rischi e delle misure di sicurezza standard o peggio ancora fittizie, ma serve che si possa verificare sul campo il ciclo completo dell’accountability: Plan – Do – Check – Act. La responsabilizzazione è un processo che non ha mai fine, punta a migliorare sempre e si adegua all’avanzamento tecnologico; un antivirus installato oggi presenterà delle falle già dopo pochi giorni, così come un software non aggiornato all’ultima versione disponibile mostrerà delle vulnerabilità esposte ad attacchi informatici.
Di primaria importanza va considerata anche una costante formazione degli incaricati che li metta nella condizione di poter valutare correttamente le minacce. I report statistici continuano a confermare come l’errore umano sia tra le prime cause di data breach spesso perché si compiono azioni con superficialità o per troppa sicurezza come aprire degli allegati mail che risultano poi malevoli. Dove si ferma la tecnologia deve entrare in gioco l’attenzione dell’operatore, per cui un messaggio che non viene filtrato dall’antispam dovrà essere oggetto di valutazione da parte del destinatario.
Saper motivare le scelte fatte
Come già scritto nel paragrafo precedente, accountability non significa limitarsi al compitino di produrre carte e documenti per risolvere in modo sbrigativo l’argomento privacy in azienda, ma bisogna rendere conto del perché sono state fatte quelle scelte. Il motivo principale è quello di ragionare preventivamente sulla protezione dei dati personali trattati per garantirne la tutela, ma non dimentichiamo che quanto messo a punto potrà poi essere oggetto di ispezione da parte delle autorità.
Torniamo quindi al fulcro dell’argomento che potremmo definire come la “capacità di essere trasparenti nella comunicazione con gli interessati e nell’accesso alle informazioni, nel rispondere delle nostre azioni e nell’essere conformi a quanto previsto dal GDPR”.
Se avremo considerato bene tutti gli aspetti, saremo in grado di soddisfare i requisiti di Riservatezza, Integrità, Disponibilità e Resilienza dei dati personali e potremo stare sufficientemente tranquilli che, in caso di evento negativo (violazione, attacco, malfunzionamento…), i nostri sistemi saranno pronti a reagire per proteggere i dati, ripristinare il disservizio e riprendere l’attività in breve tempo.
SCOPRI L’AUDIT NIST 1-100 PER DIMOSTARE L’OSSERVANZA DEL PRINCIPIO DI ACCONTABILITY
