Accountability e Responsabilità

Nel GDPR, il termine accountability viene usato nella versione redatta in lingua inglese. Nella versione italiana, si parla in modo più generale di “Responsabilizzazione”, in particolare al Capo II, articolo 5, paragrafo 2, dove, con riferimento al Titolare del trattamento si legge “Il Titolare del trattamento è competente per il rispetto del paragrafo 1 e in grado di comprovarlo («responsabilizzazione»)”. Lo stesso concetto viene anche espresso nel  n. 85.

Il termine accountability è di origine anglosassone e viene spesso messo in correlazione al termine italiano Responsabilità. In realtà il termine inglese ha un’accezione più ampia dal momento che un soggetto “accountable” non solo è responsabile delle attività e delle scelte che mette in atto in modo conforme al GDPR, ma, nel compiere tali scelte, tiene in considerazione tutti i vincoli interni ed esterni mettendo in atto modalità di trattamento dei dati, misure di sicurezza e riduzione del rischio di impatto sugli interessati che risultino efficaci ed efficienti.

Per il regolamento europeo, il responsabile è il titolare del trattamento. Ognuno di questi soggetti deve aver prodotto le seguenti attività:

– la valutazione dei rischi

– la definizione delle misure di sicurezza: in caso di verifica dovrà dimostrare  tutte le condizioni e misure adottate, ovvero chi utilizza i PC, come li utilizza, quale banca dati viene utilizzata e nominata, che tipo di dati sono presenti, i sistemi di sicurezza adottati come antivirus, firewall e condizioni di ripristino documenti e log automation.

La sicurezza del dato e del suo trattamento viene disciplinato nell’art. 24 del GDPR e chiarisce che il titolare del trattamento, deve mettere in atto misure tecniche e organizzative adeguate al fine di proteggere il dato e  deve essere in grado di dimostrare che il trattamento dei dati personali è effettuato in maniera conforme al Regolamento Europeo.

Domanda

Cosa dobbiamo dimostrare/produrre per essere compliance al Gdpr?