Regolamenti & Policy: il concetto di ‘responsabilizzazione’ come fulcro del sistema di gestione della privacy
Il Regolamento generale sulla Protezione dei Dati ha evidenziato la centralità di un elemento chiave per ciò che attiene alla tutela della privacy nella realtà aziendale: quello di “responsabilizzazione”, o accountability. Un concetto che diviene dunque dirimente nel processo di trattamento e imprescindibile per tutte le varie fasi che ne costituiscono la dinamica. In via preliminare, la “responsabilizzazione” - assioma capace di coinvolgere dunque interi settori professionali - sottolinea come chiunque si trovi a trattare i dati debba necessariamente adeguarsi alla vigente normativa sulla protezione delle informazioni personali.
(Nella foto: Stefano Pacitti, delegato Federprivacy a Campobasso e membro del Gruppo di Lavoro per la tutela della privacy nella gestione del personale)
Da un punto di vista pratico, invece, la correttezza delle procedure in questione si esplica sostanzialmente in una operatività rispettosa dei principi e delle disposizioni presenti nel Regolamento, nella consapevolezza dei rischi che il trattamento può comportare, ma anche nella adozione di misure tecnico-organizzative (anche certificate) che consentano di garantire procedimenti conformi alle prescrizioni, così come di prevenire i possibili pericoli in termini di adeguata sicurezza.
Proprio a questo proposito si esprimono, in particolare, gli artt. 5, par. 2, 24 del GDPR ed il Considerando n. 74, i quali individuano una vera e propria forma di responsabilità giuridica posta in capo al Titolare del trattamento, con riferimento all’attuazione dei principi fondamentali di liceità, correttezza e trasparenza, limitazione della finalità, minimizzazione dei dati, esattezza e aggiornamento, limitazione della conservazione, integrità e riservatezza ed all’adozione delle misure e delle politiche idonee alla protezione dei dati trattati. Ecco perché, se il Titolare è in grado di dimostrare la propria responsabilizzazione, riduce appunto il rischio di incorrere in violazioni e, soprattutto, nelle pesanti sanzioni amministrative pecuniarie contemplate dall’art. 83, parr. 4 e 5, GDPR oltre che in quelle penali.
Ma il processo di responsabilizzazione passa anche attraverso tutti i soggetti che - all’interno dell’organizzazione aziendale - sono deputati alla gestione ed al trattamento dei dati personali per conto del Titolare: tutti costoro devono essere opportunamente “istruiti”, come previsto dal Regolamento, nell’ottica di una corretta operatività.
È facile quindi comprendere, di conseguenza, l’importanza di specifici regolamenti o policies aziendali che vadano ad integrare il modello organizzativo in tema di privacy. I primi sono volti a individuare dettami e norme (che si sovrappongono a quelle contrattualcollettive) al fine di proceduralizzare e rendere chiare alla totalità dei dipendenti le istruzioni e le regole comportamentali per una corretta gestione di specifici aspetti. Le policies, invece, individuano tutte le possibili casistiche che possono coinvolgere il dipendente (in quanto figura attiva al trattamento) con i relativi processi di rischio, in modo da renderlo edotto sul da farsi ed evitando così errori, violazioni o trattamenti illeciti.
Strumenti, questi, capaci di garantire un fedele adeguamento alle normative nazionali ed europeee, ma anche di tutelare il Titolare da eventuali contestazioni rinvenibili a più livelli, interni ed esterni alla propria struttura.
