Che cosa devono fare le organizzazioni per dimostrare la responsabilizzazione delle loro attività di elaborazione dei dati?
Il principio di responsabilizzazione mira a garantire il rispetto dei principi di protezione dei dati. Implica un cambiamento culturale che promuove la protezione trasparente dei dati, le politiche sulla privacy e il controllo degli utenti, la chiarezza interna e le procedure per rendere operativa la privacy e responsabilizzazione di alto livello dimostrabile agli stakeholder esterni e alle autorità per la protezione dei dati.
Il principio di responsabilizzazione
Il regolamento generale sulla protezione dei dati (GDPR) introduce un nuovo principio in materia di protezione dei dati in Europa: quello della responsabilizzazione. Il GDPR richiede che il Titolare sia responsabile di assicurarsi che tutti i principi sulla privacy siano rispettati. Inoltre, il GDPR richiede che la società possa dimostrare la conformità con tutti i principi. Quindi, quali passi dovrebbe prendere la vostra impresa per costruire una tale cultura e per essere in grado di dimostrare la accountability?
In primo luogo, l’impresa deve sapere quali principi devono essere rispettati. Vi sono sei principi stabiliti nel GDPR. Questi sono i principi di liceità, correttezza e trasparenza, limitazione delle finalità, minimizzazione dei dati, accuratezza, limitazione dello spazio di archiviazione, integrità e riservatezza. Uno dei modi migliori per assicurarsi che questi principi vengano rispettati è quello di assicurarsi che la propria struttura di governance della privacy interna sia impostata correttamente e in modo completo.
I modi per incorporare questi principi sono intessuti in tutto il GDPR. Ad esempio, il GDPR afferma che la tua impresa è tenuta a implementare misure tecniche e organizzative appropriate come stabilito nel GDPR. Alcune (nuove) misure menzionate nel GDPR sono: processi / politiche documentate, valutazioni dell’impatto sulla protezione dei dati (DPIA), metodi di sicurezza dei dati suggeriti, protezione dei dati in base alla progettazione e, per impostazione predefinita, un responsabile obbligatorio della protezione dei dati (DPO) per dati personali su larga scala elaborare e tenere traccia delle vostre attività di elaborazione. Particolare attenzione viene data al codice (industriale) dei comportamenti e all’autocertificazione, alla notifica della violazione dei dati e ai requisiti di trasparenza.
Una cultura nuova e cambiamenti organizzativi
Una solida struttura di governance è essenziale per standardizzare la privacy e sviluppare la privacy secondo la progettazione e l’impostazione predefinita. Per creare un cambiamento culturale e organizzativo per la conformità GDPR all’interno della tua impresa, il buy-in da parte degli stakeholder ha un’importanza significativa. Sviluppando linee guida interne per i dipendenti, è possibile garantire il rispetto degli obblighi legali per l’elaborazione dei dati e la protezione dei dati. Incorporare programmi di formazione e sensibilizzazione per tutti coloro che saranno coinvolti nel trattamento dei dati personali. La tua impresa può anche prendere in considerazione la possibilità di sottoscrivere un codice di condotta del settore o di creare linee guida interne e un processo di revisione per l’analisi dei dati.
L’iscrizione a un codice di condotta aziendale può dimostrare la conformità, in particolare quando le certificazioni vengono rilasciate dagli organismi di certificazione. Questi meccanismi non sono obbligatori ai sensi del GDPR, ma sono altamente raccomandati. Sviluppare i propri standard etici in relazione al trattamento dei dati personali, può ulteriormente migliorare i vostri sforzi di responsabilizzazione. I rischi delle nuove iniziative sono valutati rispetto ai possibili benefici. Domande come “possiamo farlo legalmente?” Dovrebbero essere integrate da “vogliamo farlo e come saranno percepiti dai nostri clienti?” Per salvaguardare l’uso etico dei dati.
Inoltre, il GDPR obbliga la tua impresa a mantenere una registrazione interna di tutte le tue attività di elaborazione dei dati. La tua impresa è, tra l’altro, tenuta a registrare le finalità del trattamento e la descrizione delle misure di sicurezza tecniche e organizzative.
Novità nel GDPR è l’obbligo di designare un RPD (DPO) all’interno della vostra impresa. Sebbene il requisito sia obbligatorio solo in determinate circostanze, un responsabile della protezione dei dati può monitorare le attività della propria impresa e le attività di elaborazione per aiutarla a conformarsi al GDPR.
Il precedente italiano: il Modello 231
In sintesi, il titolare del trattamento dovrà essere in grado di dimostrare, attraverso l’adozione di idonee misure tecniche e organizzative, di essere compliant con il nuovo GDPR.
Quindi, per garantirsi l’esonero da ogni responsabilità in caso di violazione dei dati, il Titolare dovrà implementare un “Modello di gestione e di organizzazione” volto alla tutela dei dati personali.
Ai giuristi italiani non sarà sfuggito il parallelismo con le prescrizioni del Decreto 231: come noto, attraverso l’adozione del Modello 231, l’ente non risponde del fatto illecito commesso da un suo soggetto apicale o subordinato solo “se ha adottato ed efficacemente attuato” tutte quelle “misure idonee” a prevenire i reati previsti dallo stesso Decreto.
Tra le misure possibili anche codici di comportamento, procedure e protocolli, come suggeriti dallo stesso GDPR. Si tratta dunque di due sistemi di compliance che vanno integrati per formare all’interno dell’azienda un sistema di gestione globale.
Conclusione
Con il GDPR, il principio di responsabilizzazione diventa più importante. La tua impresa non solo è tenuta ad aderire ai principi stabiliti nel GDPR, ma deve anche dimostrare la conformità. Per essere all’altezza del principio di responsabilizzazione è necessaria una struttura di governance completa. Tale struttura organizzativa deve essere implementata e coordinata con il Modello 231, anch’esso basato su un peculiare principio di responsabilizzazione.
Aderire al principio di responsabilizzazione significa un cambiamento culturale e organizzativo nella vostra impresa. Con l’aiuto di forti misure tecniche e organizzative, la tua impresa può dimostrare la conformità con il GDPR e allo stesso tempo garantirsi l’esonero da responsabilità penali ai sensi del Decreto 231.
Elio Errichiello
