Secondo quanto stabilito dal Regolamento Europeo 2016/679 – GDPR – le aziende sono tenute ad attuare misure tecniche ed organizzative adeguate e spetta alle organizzazioni stesse dimostrare non solo gli interventi messi in atto ma anche la loro efficacia. Questo significa che l’onere di dimostrare la conformità alla legge spetta in primo luogo alle organizzazioni (ai Titolari) e non alle autorità che operano nell’ambito della protezione dei dati.
Nel GDPR sono elencati, oltre a quello di responsabilità, sei principi che ogni organizzazione deve rispettare:
- Liceità, correttezza e trasparenza;
- Accuratezza;
- Integrità e riservatezza;
- Minimizzazione dei dati;
- Limitazione della finalità;
- Limitazione della conservazione.
Uno dei modi migliori per assicurarsi che tali principi siano rispettati è verificare che la struttura di governance della privacy interna sia impostata correttamente e sia completa in ogni punto.
Come attuare il principio di responsabilizzazione: STEP 1 Prova a rispondere ad alcune semplici domande:
Domanda: puoi dimostrare la liceità, la correttezza e la legittimità a trattare di dati personali che la tua organizzazione raccoglie e gestisce?
Domanda: conosci quali misure di sicurezza sono adottate in azienda per prevenire rischi di riservatezza, integrità e disponibilità dei dati personali?
Domanda: Quanto sei convinto che tutto il personale della tua azienda, responsabile del trattamento dei dati personali, sia consapevole degli effetti delle modifiche intervenute con l’entrata in vigore del GDPR sulla gestione dell’azienda?
Domanda: La tua organizzazione può attualmente identificare dove vengono archiviate tutte le informazioni personali (come ad esempio dati sul personale, dati dei clienti e dei fornitori)?
Domanda: Come valuti la capacità della tua organizzazione lavorativa di dimostrare efficacemente come, da dove, provengono i dati personali di cui è in possesso?
Domanda: come verifichi e responsabilizzi i tuoi fornitori in outsourcing?
Domanda: La tua organizzazione può, se richiesto, fornire dettagli su tutte le persone e organizzazioni con cui condivide i dati personali?
Domanda: Ritieni che i responsabili per la sicurezza IT nella sua organizzazione siano in grado di riportare potenziali violazioni dei dati alle autorità competenti e alle persone interessate entro 72 ore dal rilevamento?
Domanda: Come valuti la tua capacità di dimostrare alle autorità competenti di disporre delle procedure adeguate per rilevare, analizzare e segnalare violazioni dei dati personali?
Domanda: con quale procedura rispondi ad eventuali richieste da parte degli interessati che intendono esercitare un diritto loro riconosciuto dalla normativa?
Se non trovi risposte adeguate e puntuali a tali domande rivolgiti responsabilmente ad una figura esperta per aiutarti a configurare un sistema di privacy coerente con il tuo business e contesto. Sottovalutare il trattamento dei dati personali presenti in azienda oggi è più che mai pericoloso per il business, per lo sviluppo della fiducia di clienti istituzioni pubbliche e personale coinvolto.
D.ssa Raffaella Sella
Risk & Privacy Officer – DPO