Dopo un anno dalla pubblicazione in Gazzetta, il GDPR è ancora soggetto ad una serie di incomprensioni sull’interpretazione di “accountability“. Le difficoltà legate alla traduzione dell’esatto equivalente in italiano del termine gioca un ruolo importante nel comprendere la portata e il senso del corrispondente che appare nel testo inglese del GDPR.
Una delle definizioni più complete del concetto di accountability si trova nel sito dell’Information Commissioner’s Office (ICO) – l’Autorità di controllo inglese:
“L’accountability non consiste in una semplice spunta di caselle. Una compliance responsabile al GDPR significa essere proattivi e avvicinarsi alla protezione dei dati personali secondo modalità strutturate. Per contro, dar prova della propria compliance significa essere in grado di dimostrare i passi che vengono intrapresi per rendersi compliant”.
Il Titolare del dato sarà, quindi, “accountable”, se riuscirà a dar conto di quello che fa, del perché lo fa e di come lo fa, lungo tutto un processo che inizia dalla fase di progettazione del trattamento, attraverso un approccio strutturato, dimostrando competenza e capacità gestionale.
Il rispetto del principio dell’accountability ha sempre costituito una priorità assoluta nonché il cuore delle attività di verifica dell’ICO. A Manchester è stata prefigurata una seconda e nuova fase del GDPR, tesa al raggiungimento di sistemi di protezione dei dati pienamente integrati con la governance delle organizzazioni e con tutti i processi in cui i dati personali vengono in rilevo.
L’importanza della questione è stata evidenziata più volte prima dell’evento di Manchester, come in occasione del Congresso annuale del Global Privacy Enforcement Network da Adam Stevens, a capo of Intelligence Department dell’ICO: “I risultati suggeriscono che mentre le organizzazioni contattate dall’ICO e dai nostri partner internazionali hanno una buona conoscenza del concetto base di accountability, nella pratica vi è un significativo margine di miglioramento. È importante che le organizzazioni dispongano di adeguate misure tecniche e organizzative. Ciò include l’adozione di chiare politiche di protezione dei dati, l’adozione di un approccio di privacy by design e privacy by default e il continuo controllo e monitoraggio delle prestazioni e del rispetto delle norme e dei regolamenti sulla protezione dei dati”. Anche sulla base dell’esame dei provvedimenti sanzionatori delle Autorità di controllo dei vari Stati membri, non pare azzardato prevedere che la linea ispettiva adottata dall’ICO non resterà isolata.
Isab Informatica, realtà Italiana operante da 25 anni nel mondo IT e della Sicurezza Informatica, grazie a collaborazioni con partner internazionali, è il partner ideale per le aziende che hanno bisogno di rafforzare la propria infrastruttura IT allineandola alle esigenze odierne. Contattaci per ulteriori informazioni.