IL PROCESSO DI ANALISI
Per una corretta ottemperanza alla normativa vigente in materia Data Protection occorre un’accurata analisi di contesto che consenta una analisi dei trattamenti sulla quale operare un Registro aderente e fedele all’Organizzazione di riferimento.
Vediamone il processo di analisi a dimostrazione di una robusta Accountability.
Chiara Ponti
Accountability signicato: cosa si intende per accountability nel GDPR?
Accountability significa letteralmente “Rendicontazione”, che si compone di almeno tre elementi:
- “Trasparenza”, da intendersi come garanzia della completa accessibilità alle informazioni;
- “Responsività”, quale capacità di rendere conto di scelte, comportamenti e azioni;
- “Compliance”, intesa come la capacità di far rispettare le norme, nel senso di finalizzare l’azione pubblica all’obiettivo stabilito nelle leggi.
Pertanto, la stessa dimostra come l’organizzazione creda nella Compliance alla Data Protection supportandola pienamente.
L’accountability rappresenta altresì la genesi del Modello Organizzativo Privacy ed il suo sostentamento nel tempo, tanto motivazionale quanto in termini pratico-economici.
Accountability GDPR: le applicazioni
Per applicare l’accountability, l’Organizzazione dovrebbe disegnare una procedura che guidi le pertinenti attività.
Di seguito, forniamo una possibile traccia dei principali argomenti consigliando di strutturarli in due parti:
- «Fondamenti dell’Accountability» ripercorrendo sostanzialmente i riferimenti normativi ad essa connessi (ex artt. 2, 4, 5-6, 9, 12-21, 25, 26-28-29, 30, 32-35, 33-34, 37-39, 82, 83 del UE 679/2016 cd GDPR);
- «Attuazione dell’Accountability» che applica in concreto i punti di cui sopra, riguardando nello specifico il contesto, la struttura organizzativa, le attività di trattamento, la gestione del rischio e relative misure di sicurezza, il monitoraggio ed il miglioramento continuo.
Processo di Analisi: il Registro dei trattamenti e l’Analisi dei Rischi
Vediamo ora il processo di analisi che un’Organizzazione deve applicare per la creazione del Registro dei trattamenti e l’Analisi dei rischi, quali manifestazioni tipiche dell’accountability.
Analisi dei Trattamenti
L’analisi dei trattamenti pur non essendo una novità del Regolamento UE 679/2016 poiché già l’Allegato B del Codice Privacy ex ante riforma obbligava il Titolare ad “elencare” i trattamenti di dati personali, è indubbio che tale adempimento costituisca un fondamento ineludibile per la compliance al GDPR.
Muovendo dall’analisi di contesto[1] dell’Organizzazione, ed entrando nello specifico dei processi e degli strumenti adoperati per il trattamento dei dati personali, occorre individuare i singoli componenti del Registro.
Gli elementi essenziali del Registro delle attività di trattamento sono espressamente indicati dall’art. 30 del GDPR da leggersi unitamente a quanto di ufficiale ed aggiornato viene emanato dall’Autorità di controllo (tra cui senz’altro, ma non solo si segnala, le FAQ) in merito.
Lo strumento GoPrivacy consente un’agile gestione dei registri sia in qualità di Titolare che di Responsabile riportando tutti i contenuti sopra citati ed altri ritenuti utili all’attività ben potendo apprezzare l’uso di tabelle, check-list e contenuti, valorizzati tutti grazie alla interazione con lo strumento la quale diventa particolarmente efficace dal momento che la stesura dei registri è normalmente un’attività svolta a più mani.
Analisi dei Rischi
Nel processo di analisi, altro step fondamentale è dato dalla “Analisi dei rischi” imprescindibile per una corretta ottemperanza al GDPR (art. 32).
Grazie al citato Tool quale efficace soluzione privacy, alcuni elementi del Registro del trattamento sono costruiti per essere collegati allo sviluppo dell’analisi dei rischi, evitando inutili imputazioni di dati, come da immagine sotto riportata.
Conclusioni
Abbiamo voluto brevemente illustrare il processo di analisi ora dei trattamenti ora del rischio al fine di trasmettere, sensibilizzando, l’importanza di questi due elementi.
La sinergia tra registri ed analisi dei rischi, il loro adeguamento ed aggiornamento nel tempo sono quindi il “volano” che attiva il processo di miglioramento continuo anche indirizzando le scelte dell’Organizzazione in merito alle misure di sicurezza.
É indubbio quindi che la scelta di un Tool come GoPrivacy semplifichi tali adempimenti rafforzando indiscutibilmente l’Accountability.
[1] Si tenga presente che l’analisi di contesto è imprescindibile anche in considerazione della gestione del rischio. Per ulteriori approfondimenti, vedasi «IL SISTEMA INTEGRATO PER LA SICUREZZA DELLE INFORMAZIONI E LA DATA PROTECTION. Guida operativa all’efficace integrazione dei due mondi con l’ausilio della ISO 27701» Ed. EPC, 2021 C. Ponti, R. Castroreale di imminente pubblicazione.