LACCOUNTABILITY-A-FONDAMENTO-DELLA-DATA-PROTECTION

IL PROCESSO DI ANALISI

Per una corretta ottemperanza alla normativa vigente in materia Data Protection occorre un’accurata analisi di contesto che consenta una analisi dei trattamenti sulla quale operare un Registro aderente e fedele all’Organizzazione di riferimento.
Vediamone il processo di analisi a dimostrazione di una robusta A
ccountability.

 Chiara Ponti
Ufficio Compliance

INDICE:

Accountability signicato: cosa si intende per accountability nel GDPR?

Accountability significa letteralmente “Rendicontazione”, che si compone di almeno tre elementi:

  • Trasparenza”, da intendersi come garanzia della completa accessibilità alle informazioni;
  • Responsività”, quale capacità di rendere conto di scelte, comportamenti e azioni;
  • Compliance”, intesa come la capacità di far rispettare le norme, nel senso di finalizzare l’azione pubblica all’obiettivo stabilito nelle leggi.

Pertanto, la stessa dimostra come l’organizzazione creda nella Compliance alla Data Protection supportandola pienamente.

L’accountability rappresenta altresì la genesi del Modello Organizzativo Privacy ed il suo sostentamento nel tempo, tanto motivazionale quanto in termini pratico-economici.

Accountability GDPR: le applicazioni


Per applicare l’accountability, l’Organizzazione dovrebbe disegnare una procedura che guidi le pertinenti attività.

Di seguito, forniamo una possibile traccia dei principali argomenti consigliando di strutturarli in due parti:

  1. «Fondamenti dell’Accountability» ripercorrendo sostanzialmente i riferimenti normativi ad essa connessi (ex artt. 2, 4, 5-6, 9, 12-21, 25, 26-28-29, 30, 32-35, 33-34, 37-39, 82, 83 del UE 679/2016 cd GDPR);
  2. «Attuazione dell’Accountability» che applica in concreto i punti di cui sopra, riguardando nello specifico il contesto, la struttura organizzativa, le attività di trattamento, la gestione del rischio e relative misure di sicurezza, il monitoraggio ed il miglioramento continuo.

Processo di Analisi: il Registro dei trattamenti e l’Analisi dei Rischi

 

Vediamo ora il processo di analisi che un’Organizzazione deve applicare per la creazione del Registro dei trattamenti e l’Analisi dei rischi, quali manifestazioni tipiche dell’accountability.

Analisi dei Trattamenti

L’analisi dei trattamenti pur non essendo una novità del Regolamento UE 679/2016 poiché già l’Allegato B del Codice Privacy ex ante riforma obbligava il Titolare ad “elencare” i trattamenti di dati personali, è indubbio che tale adempimento costituisca un fondamento ineludibile per la compliance al GDPR.

Muovendo dall’analisi di contesto[1] dell’Organizzazione, ed entrando nello specifico dei processi e degli strumenti adoperati per il trattamento dei dati personali, occorre individuare i singoli componenti del Registro.

Gli elementi essenziali del Registro delle attività di trattamento sono espressamente indicati dall’art. 30 del GDPR da leggersi unitamente a quanto di ufficiale ed aggiornato viene emanato dall’Autorità di controllo (tra cui senz’altro, ma non solo si segnala, le FAQ) in merito.

Lo strumento GoPrivacy consente un’agile gestione dei registri sia in qualità di Titolare che di Responsabile riportando tutti i contenuti sopra citati ed altri ritenuti utili all’attività ben potendo apprezzare l’uso di tabelle, check-list e contenuti, valorizzati tutti grazie alla interazione con lo strumento la quale diventa particolarmente efficace dal momento che la stesura dei registri è normalmente un’attività svolta a più mani.

Analisi dei Rischi

Nel processo di analisi, altro step fondamentale è dato dalla “Analisi dei rischi” imprescindibile per una corretta ottemperanza al GDPR (art. 32).

Grazie al citato Tool quale efficace soluzione privacy, alcuni elementi del Registro del trattamento sono costruiti per essere collegati allo sviluppo dell’analisi dei rischi, evitando inutili imputazioni di dati, come da immagine sotto riportata.

L’ACCOUNTABILITY A FONDAMENTO DELLA DATA PROTECTION - 1
L’ACCOUNTABILITY A FONDAMENTO DELLA DATA PROTECTION - 2

Conclusioni

 

Abbiamo voluto brevemente illustrare il processo di analisi ora dei trattamenti ora del rischio al fine di trasmettere, sensibilizzando, l’importanza di questi due elementi.

La sinergia tra registri ed analisi dei rischi, il loro adeguamento ed aggiornamento nel tempo sono quindi il “volano” che attiva il processo di miglioramento continuo anche indirizzando le scelte dell’Organizzazione in merito alle misure di sicurezza.

É indubbio quindi che la scelta di un Tool come GoPrivacy semplifichi tali adempimenti rafforzando indiscutibilmente l’Accountability

 

 

[1] Si tenga presente che l’analisi di contesto è imprescindibile anche in considerazione della gestione del rischio. Per ulteriori approfondimenti, vedasi «IL SISTEMA INTEGRATO PER LA SICUREZZA DELLE INFORMAZIONI E LA DATA PROTECTION. Guida operativa all’efficace integrazione dei due mondi con l’ausilio della ISO 27701» Ed. EPC, 2021 C. Ponti, R. Castroreale di imminente pubblicazione.

Vuoi rimanere aggiornato su tutte le ultime novità in materia Privacy?

Iscriviti a Privacy Revolution.

Cliccando su ISCRIVITI esprimi il tuo consenso a ricevere comunicazioni e aggiornamenti su PrivacyRevolution da parte di Sistemi H.S. S.p.A., Titolare del trattamento.

Ti interesserà leggere anche

Non perdere le novità

Non perdere le ultime novità dal mondo della Privacy e GDPR

Cliccando su ISCRIVITI esprimi il tuo consenso a ricevere comunicazioni e aggiornamenti su PrivacyRevolution da parte di Sistemi H.S. S.p.A., Titolare del trattamento.

Condividi su twitter
Condividi su linkedin
Condividi su email

Informativa al trattamento dei dati ex art. 13 Regolamento UE 2016/679

La informiamo che, ai sensi del Regolamento UE 2016/679 (infra: “Regolamento”), i Suoi Dati Personali saranno trattati da Sistemi HS S.p.A. con sede Via Torino 176 10093 Collegno (TO), in qualità di titolare del trattamento (“Titolare”).
Il Responsabile della Protezione dei Dati (“DPO”) è raggiungibile ai seguenti indirizzi: dpo@sistemihs.it  – sistemihsdpo@cert.unonet.it
Il Titolare tratterà i Suoi dati personali per la finalità di gestione delle comunicazioni e delle newsletter relative alla community PrivacyRevolution.
La base giuridica del trattamento è riferita all’espressione del consenso da parte dell’interessato al trattamento dei propri dati personali (art. 6(1)(a) del Regolamento).
Il conferimento dei Suoi Dati Personali per la finalità di cui sopra è facoltativo; non è prevista alcuna conseguenza in caso di un Suo rifiuto. In mancanza dei dati però, non sarà possibile per il Titolare inviarle alcuna comunicazione.
L’interessato ha la possibilità di revocare il consenso prestato e di opporsi a tale trattamento in ogni momento in maniera agevole e gratuita, anche scrivendo al Servizio Privacy presso il Titolare all’indirizzo: compliance@sistemiuno.it
I Suoi dati personali potranno essere condivisi con persone fisiche autorizzate dalla Titolare al trattamento di dati personali previa sottoscrizione di un accordo di riservatezza (es. dipendenti e amministratori di sistema); soggetti terzi coinvolti nella gestione delle attività legate alla predetta finalità, alcuni dei quali agiscono in qualità di responsabili del trattamento (l’elenco completo ed aggiornato è disponibile e consultabile previa richiesta a compliance@sistemiuno.it); soggetti, enti o autorità a cui sia obbligatorio comunicare i suoi dati personali in forza di disposizioni di legge o di ordini delle autorità.
Il Titolare non trasferisce i Suoi Dati Personali al di fuori dello Spazio Economico Europeo.
I suoi Dati Personali saranno conservati fino alla revoca del consenso prestato. È fatto salvo in ogni caso l’ulteriore conservazione prevista dalla normativa applicabile tra cui quella prevista dall’art. 2946 cod. civ. Maggiori informazioni sono disponibili presso il Titolare
Lei ha diritto di chiedere al Titolare, in qualunque momento, l’accesso ai Suoi Dati, la rettifica o la cancellazione degli stessi o di richiedere la limitazione del trattamento, o di ottenere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati che La riguardano nei casi previsti dall’art. 20 del Regolamento.
È possibile formulare una richiesta di opposizione al trattamento dei Suoi dati ex articolo 21 del GDPR nella quale dare evidenza delle ragioni che giustifichino l’opposizione: il Titolare si riserva di valutare l’istanza, che non verrebbe accettata in caso di esistenza di motivi legittimi cogenti per procedere al trattamento che prevalgano sui tuoi interessi, diritti e libertà.
In qualsiasi momento potrà revocare ex art. 7 del Regolamento, il consenso già prestato, senza che ciò pregiudichi la liceità del trattamento effettuato anteriormente alla revoca del consenso.
Le richieste vanno rivolte per iscritto al Titolare o al DPO ai recapiti sopra indicati. In ogni caso Lei ha sempre diritto di proporre reclamo all’autorità di controllo competente (Garante per la Protezione dei Dati Personali), ai sensi dell’art. 77 del Regolamento, qualora ritenga che il trattamento dei Suoi dati sia contrario alla normativa in vigore.

Unisciti a Privacy Revolution!

Iscrivendoti a Privacy Revolution riceverai gratuitamente aggiornamenti sulle ultime novità in campo Privacy, GDPR e Compliance, inviti a webinar ed eventi speciali!

Cliccando su ISCRIVITI esprimi il tuo consenso a ricevere comunicazioni e aggiornamenti su PrivacyRevolution da parte di Sistemi H.S. S.p.A., Titolare del trattamento.