NEWS

L’accountability richiesta dal GDPR non si improvvisa nel momento del bisogno, ma si costruisce "by design"

L’art. 5 del Regolamento UE 2016/679 (GDPR) ha introdotto un cambio di paradigma rispetto alla normativa in materia di privacy previgente. Le organizzazioni pubbliche e private non sono soltanto tenute a rispettare i princìpi in materia di protezione dei dati personali, ma devono anche essere in grado di dimostrare tale rispetto.

Il tema, anche a distanza di diversi anni dall’introduzione del GDPR non è ancora di facile ed immediata comprensione. Purtroppo, l’accountability resta frequentemente un concetto astratto e non calato nelle realtà operative aziendali.

Il principio di accountability nella pratica - Il concetto di accountability implica infatti un rovesciamento dell’onere della prova. Non spetta al Garante dimostrare che il titolare ha violato le regole, ma è lo stesso titolare che deve essere in grado di documentare, in ogni momento, di averle rispettate. Si tratta dell’approccio risk-based. Prevede che le misure di sicurezza adottate devono essere proporzionate alla natura, al contesto, alle finalità e ai rischi del trattamento.

Operativamente, l’accountability si traduce in un sistema – non in singoli adempimenti isolati – composto da almeno tre livelli: la governance della protezione dei dati, i processi interni di analisi e gestione del rischio, e la documentazione probatoria. Questi tre livelli devono essere coerenti tra loro e aggiornati nel tempo da esperti con competenze di data management. Gli aspetti trattati sono illustrati nel seguente esempio che tratta dell’onboarding di un nuovo fornitore.

Onboarding di un nuovo fornitore - Una società di medie dimensioni operante nel settore cosmetico decide di affidarsi a un nuovo fornitore di servizi informatici per la gestione del programma di CRM in cloud a supporto delle attività di marketing. La soluzione scelta presenta anche una componente di intelligenza artificiale (AI). Il fornitore avrà accesso, tra gli altri, ai dati personali dei clienti (dati anagrafici, tessera fedeltà – collegata al sistema di profilazione, ecc.). È pertanto necessario rendere conforme al principio di “accountability” questo processo. Un approccio non strutturato si limiterebbe a far firmare il contratto al fornitore e a conservarne copia. L’accountability richiede invece un percorso ben più articolato e documentato, che comporta quantomeno i seguenti cinque passaggi:

1. Qualificazione del fornitore come responsabile del trattamento - Prima di stipulare il contratto, il titolare del trattamento deve verificare che il fornitore offra garanzie sufficienti in termini di misure tecniche e organizzative (art. 28, par. 1 del GDPR). Questa verifica deve essere documentata, ad esempio con un questionario di vendor assessment che copra: politiche di sicurezza adottate, certificazioni possedute (es. ISO/IEC 27001), subappaltatori utilizzati, localizzazione dei server, procedure in caso di data breach ed altre misure tecniche ed organizzative che il titolare valuta debbano essere garantite dal fornitore. Inoltre, dovrà essere valutata l’adeguatezza rispetto all’Artificial Intelligence Act (AI Act) della soluzione proposta dato che la stessa prevede una componente di AI.

2. Stipula di un Data Processing Agreement (DPA) - Il contratto con il fornitore deve contenere tutte le clausole previste dall’art. 28, par. 3, del GDPR: oggetto e durata del trattamento, natura e finalità, tipologia di dati e categorie di interessati, obblighi e diritti del titolare. Non è sufficiente né tanto meno opportuno inserire un generico richiamo al GDPR. È necessario invece indicare le misure specifiche, di natura tecnica ed organizzativa, che il fornitore deve soddisfare sulla base del rischio associato al trattamento considerando anche la componente di AI.

3. Aggiornamento del Registro dei trattamenti - Il trattamento, prima dell’avvio del servizio, va censito nel Registro previsto dall’art. 30 del GDPR con l’indicazione del nuovo responsabile, delle categorie di dati, della base giuridica, del termine di conservazione e delle misure di sicurezza.

4. Verifica della necessità di una valutazione d’impatto - Trattandosi di dati di clienti e potenzialmente di profilazione automatizzata e della presenza di una componente di AI occorre valutare se il trattamento rientri tra quelli per cui la valutazione d’impatto (DPIA) è obbligatoria. Se sì, la valutazione va condotta prima dell’avvio del trattamento.

5. Procedura ed audit - Il percorso si completa con la necessità di documentare, attraverso una procedura, i passaggi descritti individuando, di volta in volta le funzioni responsabili. La procedura deve essere verificata per valutarne l’adeguatezza ed oggetto di formazione per i collaboratori che la devono applicare.

Successive attività di audit pianificate ed eseguite, come richiesto in più articoli del GDPR, permettono di monitorare l’applicazione e l’efficacia della procedura e, se del caso, mettere in atto azioni correttive.

(Nella foto: l'Ing. Monica Perego, docente al Corso di alta formazione per Data Manager)

Al termine del processo, la società dispone di un fascicolo documentato che comprende il vendor assessment, il DPA firmato, l’aggiornamento del Registro e, ove applicabile, la DPIA. Oltre che una procedura che regolamenta le attività e report di audit mirati che danno evidenza della attività di verifica da parte di soggetti indipendenti.

Se il Garante dovesse richiedere chiarimenti su quel trattamento, la società sarà così in grado di dimostrare – e non solo di affermare – di aver operato nel rispetto del GDPR e dell’AI Act.

Conclusioni – Il suddetto esempio illustra come l’accountability non si improvvisa nel momento del bisogno, ma si costruisce prima – attraverso processi, documenti, formazione, audit e presidio continuo. La norma non richiede la perfezione, ma la dimostrabilità di un approccio metodico, proporzionato al rischio e condotto da persone competenti.

Per i professionisti della protezione dei dati e le organizzazioni, questo significa passare da una logica di compliance reattiva – adeguarsi solo quando richiesto o in seguito a un’ispezione – a una logica di data governance proattiva, in cui la protezione dei dati è integrata nei processi decisionali fin dalla progettazione (privacy by design) e per impostazione predefinita (privacy by default).

Note sull'Autore

Monica Perego Monica Perego

Membro del Comitato Scientifico di Federprivacy, docente qualificato TÜV Italia e docente del Master per Esperto Privacy e del Corso di alta formazione per Data Manager - Twitter: monica_perego

Prev Per molte startup la privacy diventa un tema strategico quando è troppo tardi
Next Fiducia, equità e trasparenza: l’AI come nuovo patto tra banca e cliente

Siamo tutti spiati? il presidente di Federprivacy a Cremona 1 Tv

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy