Privacy Accountability: tra responsabilizzazione e dimostrabilità

Il testo del GDPR, ribadendo in prima battuta i principi generali in materia di raccolta, conservazione e trattamento dei dati (art. 5), pone infatti la sua maggiore attenzione sull’individuazione dei processi, attività, misure tecniche e organizzative, sanzioni e obblighi del titolare e responsabile del trattamento – accordandogli la facoltà di autodeterminarsi nella scelta – prevedendo che gli stessi “dovrebbero” tenere degli appositi e distinti registri, da mettere a disposizione dell’Autorità di controllo (cfr. considerando n.82), diretti a dimostrare, la conformità al regolamento delle attività di trattamento effettuate sotto la propria responsabilità.

Il registro delle attività di trattamento del titolare e del responsabile – che devono essere rispettivamente redatti, monitorati ed aggiornati secondo criteri unitari tali da garantirne la coerenza strutturale e funzionale, anche in ottica ispettiva – costituiscono quindi la misura organizzativa diretta a garantire un corretto ciclo di gestione degli adempimenti previsti, nonché lo strumento chiave su cui si fonda il principio di dimostrabilità imposto dal regolamento.

Si badi bene che l’obbligo normativo di tenuta dei registri, nonostante sia riservato solo a determinate realtà aziendali (art. 30 comma 5), in concreto si estende a tutti coloro che effettuano attività di trattamento, avendo il principio di dimostrabilità, su cui si fonda l’intera normativa, una portata ampia e generale.

La disciplina specifica dei registri delle attività di trattamento, la cui struttura e modalità di attuazione viene lasciata alla discrezionalità dei soggetti interessati – salvo l’onere di dimostrare l’iter logico che ha portato ad assumere una determinata impostazione e le ragioni per cui la stessa venga ritenuta idonea a soddisfare la normativa – è contenuta nell’art. 30 del GDPR, recante le prescrizioni applicative e l’elenco degli elementi tassativi e delle informazioni relative alle attività di trattamento.

Al fine di adempiere alle prescrizioni regolamentari, la documentazione attestante la compliance con la normativa europea dovrà essere estremamente intellegibile ed improntata su una roadmap strutturata mediante:

  • Un’analisi preliminare dell’organizzazione dell’attività, elencazione dei servizi esternalizzati, elenco soggetti terzi coinvolti nel trattamento, monitoraggio e gestione adempimenti per il trasferimento dei dati all’estero, mappatura dei processi, censimento dei trattamenti dei dati personali;
  • L’individuazione dei ruoli e delle responsabilità in capo ai soggetti coinvolti nel trattamento, informazioni sulla base giuridica del trattamento (seppur non obbligatoria, estremamente utile per predisporre una corretta documentazione informativa ex art. 13), le procedure per l’esercizio dei diritti dell’interessato;
  • La definizione delle politiche di sicurezza e della valutazione dei rischi per ogni servizio e applicativo – mediante indicazione degli strumenti tecnologici impiegati (strumenti MDM (Mobile Data Management), sistemi DLP (Data Loss Prevention), Content Filtering, sistemi di log retention), modalità e tempi di conservazione e cancellazione dei dati;
  • L’adozione di misure tecniche per garantire un livello di sicurezza adeguata al rischio ex art. 32.

Articoli

Menu