Blog

CopertinaGDPR.png

Accountability e le misure adeguate da adottare per i Sistemi Informativi aziendali

Siamo ormai alle porte del fatidico 25 maggio 2018, data di scadenza delle aziende per essere in regola con il GDPR.Il regolamento generale sulla protezione dei dati riprende tematiche già presenti nell’ambito gestione e trattamento dei dati personali (definizione di dato personale, obbligo di informativa, …), modificandole solo in maniera marginale, ma d'altra parte mette in evidenza argomenti molto importanti, che precedentemente non erano stati affrontati propriamente:

  • Norme rigorose per i casi di violazione dei data (i cosiddetti data breach)
  • Valutazione dei rischi
  • Responsabilità solidale di titolare e responsabile

Con questo post cercheremo di addentrarci in una delle tematiche del GDPR che vanno ad incidere direttamente il perimetro IT di una azienda: il concetto di accountability.

In primis, il GDPR individua nel titolare il soggetto responsabile per la compliance ai principi privacy e deve essere in grado di dimostrarla. Tenuto conto di natura, ambito, contesto, finalità e rischi, deve mettere in atto misure tecniche ed organizzative adeguate per garantire, ed essere in grado di dimostrare, l’efficacia di tali misure e che il trattamento dei dati personali sia conforme al GDPR. Ciò implica l’adozione di un sistema di gestione della data protection che consenta di gestire nel tempo la compliance. Il passo successivo da comprendere è quali misure siano adeguate, quali siano gli applicativi conformi al regolamento e quali siano i rischi che rendono inefficaci, o meno, tali misure.

Le misure adeguate, gli applicativi conformi al regolamento e i possibili rischi.

Per concludere, l’introduzione del concetto di accountability lascia maggior spazio di manovra al titolare nel decidere con quali modalità tutelare i dati, ma questa maggiore libertà è strettamente legata all’obbligo di dimostrare, motivare e documentare le scelte effettuate dal titolare stesso, che hanno portato all’adozione di una determinata decisione.



Pubblicato da Riccardo Brambilla in data 21/03/2018