IL RUOLO DEL TITOLARE E DEL RESPONSABILE DEL TRATTAMENTO
IL PRINCIPIO DI ACCOUNTABILITY
Il GDPR stabilisce a carico del Titolare e del Responsabile del trattamento il principio di accountability o di responsabilizzazione. Questo si traduce nell’adozione di misure tecniche ed organizzative adeguate: volte a garantire e dimostrare che il trattamento dei dati personali, posto in essere, è conforme ai principi stabiliti dal Regolamento.
Con il principio di accountability il legislatore europeo ha voluto garantire il massimo rispetto delle regole di correttezza e trasparenza nell’utilizzo dei dati personali, imponendo al Titolare e al Responsabile un comportamento proattivo e concreto, volto a prevenire i rischi cui potrebbero essere sottoposti i dati personali trattati.
Questo principio comporta per il Titolare e il Responsabile del trattamento un obbligo giuridico e un obbligo processuale.
L’obbligo giuridico è costituito dall’adozione di misure tecniche ed organizzative adeguate per garantire che il trattamento dei dati sia conforme al Regolamento Europeo. L’adeguatezza deve essere valutata in base alla natura, ambito, finalità, contesto e probabilità e gravità dei rischi.
L’obbligo processuale prevede che il Titolare del trattamento sia in grado di dimostrare l’adeguatezza delle misure adottate.
COSA DEVONO FARE IL TITOLARE E IL RESPONSABILE DEL TRATTAMENTO PER OTTEMPERARE AL PRINCIPIO DI ACCOUNTABILITY
Per essere proattivi il Titolare e il Responsabile del trattamento devono valutare tutti i profili della loro responsabilità. Si fa seguendo un assessment con l’aiuto di professionisti competenti. Questo consente di mappare tutti i trattamenti di dati personali esistenti all’interno della propria realtà aziendale. Lo fa seguendone il flusso dalla raccolta sino alla conservazione ed alla cancellazione e verificando la sussistenza delle condizioni di liceità dei trattamenti stessi.
Non solo. E’ inoltre necessario individuare il tipo di dati raccolti (ad. es. comuni, particolari, relativi a condanne penali e reati), il contesto in cui si svolge il trattamento (ivi compresi il luogo e gli strumenti utilizzati), nonché le persone coinvolte, intesi come soggetti interessati, autorizzati e destinatari.
Dopo aver esaminato tutti i profili del trattamento, sarà possibile predisporre la documentazione necessaria a provare la valutazione dei profili di responsabilità del Titolare e del Responsabile del trattamento. Sono parte integrante di questo apparato documentale:
– il Registro dei Trattamenti;
– le informative ex artt. 13 e 14 GDPR;
– le nomine ad autorizzati ex art. 29 GDPR;
– i contratti per i Responsabili esterni del trattamento ex art. 28 GDPR.
Tuttavia, la predisposizione dell’apparato documentale da solo non basta, in quanto Titolare e Responsabile del trattamento devono adottare anche una serie di misure tecniche ed organizzative che effettivamente proteggano le persone, garantendo la sicurezza e l’integrità dei loro dati nonché il rispetto dei principi di finalità e conservazione dei dati.
MISURE ORGANIZZATIVE
Tra le misure organizzative vi sono:
– le policy per la gestione delle istanze di esercizio dei diritti dei soggetti interessati e per i casi di data breach;
– la policy di clean desk;
– le policy per la gestione dei beni aziendali, comprensivi dell’utilizzo dei devices, della posta elettronica, e delle reti Internet.
Per quanto riguarda le misure tecniche occorre distinguere se il trattamento sia cartaceo o informatico.
Nel primo caso esempi di misure tecniche sono gli armadi chiusi a chiave, l’impianto antifurto, l’impianto antincendio.
Nel caso di trattamento dei dati a mezzo strumenti informatici, esempi di misure tecniche sono i gruppi di continuità, l’utilizzo di sistemi operativi, applicativi, di programmi antivirus e firewall aggiornati, l’implementazione di procedure di back up e di disaster recovery.
Poiché l’attività di protezione cambia in relazione ai luoghi e ai tempi l’accountability è un principio dinamico. Il Titolare e il Responsabile del trattamento devono dimostrare di aver verificato nel tempo l’adeguatezza delle misure di protezione in essere e di averle aggiornate.
LA FORMAZIONE
Con il principio di accountability, il legislatore europeo ha, inoltre, previsto a carico del Titolare e del Responsabile del Trattamento anche la formazione obbligatoria.
Gli artt. 29 e 32 GDPR stabiliscono che Titolare e Responsabile del Trattamento devono istruire coloro che agiscono sotto la loro autorità e abbiano accesso ai dati personali.
Senza istruzioni, tali soggetti non devono trattare i dati personali. La violazione di tale obbligo è soggetta alla sanzione amministrativa pecuniaria fino a € 10.000,00 o per le imprese fino al 2% del fatturato mondiale se superiore.
Sei sicuro di essere compliant al GDPR e di aver rispettato il principio di accountability? Hai eseguito l’assessment su tutti i trattamenti presenti all’interno della tua realtà aziendale? Hai adottato un adeguato apparato documentale e formato i tuoi collaboratori? Se vuoi verificare lo stato della tua azienda e il suo adeguamento al GDPR, contattaci
A cura di Silvia Costantino per DDNstudio