Tempo di lettura stimato: 8'
Cosa significa accountability?
Accountability vuol dire responsabilità e quindi significa essere responsabili, essere degni di fiducia. Accountable è l’azienda, l’ente, l’associazione o il professionista che tratta i dati personali con la consapevolezza che quelle informazioni non sono sue e che deve fare tutto il possibile perché non accada loro nulla di male.
È come quando saliamo sul Frecciarossa, che in fondo non è altro che una scatola di metallo che viaggia a 300 km orari. Saremmo dei pazzi a decidere consapevolmente di prendere un mezzo del genere, ma noi ci fidiamo. Ci fidiamo di chi l’ha costruito, di chi fa la manutenzione, di chi fa le riparazioni, perché sono accountable: sono consapevoli del rischio che potrebbero correre i passeggeri se qualcosa dovesse andare storto e hanno progettato il treno e i sistemi di sicurezza per ridurre i pericoli ai minimi termini.
La stessa cosa avviene con i dati personali. Chi li raccoglie ha l’obbligo di essere responsabile, ancora prima di fare qualsiasi trattamento. Lo dice il Regolamento Europeo sulla protezione dei dati, ma è anche una questione di etica e di buon senso: i dati personali dei dipendenti, dei clienti, dei pazienti, degli alunni, dei cittadini non sono nostri, ce li hanno affidati e noi abbiamo il dovere di proteggerli.
Dobbiamo essere degni della loro fiducia e il GDPR ha formalizzato questo dovere con il concetto di accountability.
Accountability: consapevoli, competenti e responsabili
Il Regolamento ci dice che ancora prima gestire il dato – in quanto titolari e responsabili - dobbiamo verificare che il trattamento abbia un rischio residuale basso.
Quindi ci dice che dobbiamo agire prima del problema, essere proattivi, valutando in anticipo i rischi e adottando delle contromisure: è il concetto di privacy by design.
Benissimo. Quindi la prima cosa che devi fare per la tua accountability è essere consapevole dei trattamenti che fai, altrimenti come fai a sapere quali rischi corrono i dati se non sai quali dati tratti?
Consapevolezza: sai quali dati personali tratti?
Il problema oggi è proprio questo: aziende, imprenditori, consulenti, professionisti non sono consapevoli.
Alla domanda: “Sai quali trattamenti fai?”
La risposta dell’imprenditore medio è: “Ma dai, i soliti, quelli obbligatori per legge.”
E io: “Ok, va benissimo, ma quali sono?”
E lui: “I soliti: buste paga, permessi… le solite cose…”
“Bene” gli dico “Hai un sito web?”
E lui: “Ma certo!”
“La Pagina Facebook?”
E lui: “Certamente”
“Ok, cosa ci fai con la Pagina Facebook?”
E scopro che ci fa le sporcaccionate più grosse!
Prende e clusterizza le informazioni, le mette nel cruscotto di Mailchimp dove automaticamente manda le mail a quelli che hanno visitato la sua Pagina Facebook e hanno messo mi piace a certe cose, fa Google ADS, usa le App…
E lo fanno tutti.
Fanno sporcaccionate con i dati personali degli altri e non se ne rendono conto. Non sanno che quelli sono trattamenti.
Quindi la prima cosa da fare per essere consapevoli è formarsi e avere dei consulenti al proprio fianco che siano un aiuto. Non rivolgersi a dei gibboni che creano solo confusione e allarmismi, ma a professionisti capaci, che sappiano spiegare con chiarezza e che affianchino il titolare del trattamento e i responsabili nel processo di compliance GDPR, perché sappiano sempre dove si trovano i dati raccolti, di chi sono, come vengono utilizzati e perché.
Competenza: i trattamenti che stai facendo hanno un rischio residuale basso?
Il GDPR dice che bisogna fare trattamenti solo se il rischio residuale è basso. Quindi va fatta un’analisi dei rischi. E sull’analisi dei rischi ho visto di tutto.
Ho visto Associazioni di Categoria che, per mettere a norma le imprese, hanno mandato questionari in Excel con una lista di domande fenomenali, del tipo: dai una valutazione da 1 a 10 sulla capacità empatica dei capoufficio di riuscire a rispondere in maniera corretta alle tue domande.
Ma perché? Che senso ha?!
Perché l’artigiano, il panettiere, l’azienda con 3 dipendenti – occhio che il GDPR riguarda tutti, anche loro! - deve stare lì a diventare di gomma con una lista di 119 accadimenti per fare l’analisi dei rischi? Non è efficiente, non è razionale.
Le cose vanno fatte cum grano salis!
Invece, alle volte sembra davvero che la valutazione dei rischi sulla protezione dei dati sia qualcosa di incomprensibile, che si debba scomodare il CERN per calcolarli, mettendoci dentro di tutto: incendi, terremoti, l’invasione aliena, il meteorite… Ma l’incendio non è un rischio, è una sfiga, è un accadimento, per quanto riguarda la privacy; il terremoto e il meteorite che colpisce la Terra non sono rischi, sono accadimenti. I rischi per i dati personali sono pochi e facilmente identificabili.
I rischi per i dati personali sono 6
I rischi per i dati personali sono solo 6 e vanno valutati guardando al caso specifico, a quello che fa l’azienda e a come si muove:
• DISPONIBILITAÌ
-Distruzione accidentale o illegale
Esempio – Cancello l’unico file con l’anagrafica dei clienti persone fisiche della mia azienda e non posso più recuperarli
- IndisponibilitaÌ
Esempio – L’azienda prende un Cryptolocker che blocca tutti i documenti e non permette l’accesso
- Perdita
Esempio – Viene rubato un portatile con all’interno una serie di documenti, o si rompe il disco del Computer e non sono più disponibili i file
• INTEGRITAÌ
- Alterazione
Esempio – Modifico per errore i dati personali di Giulia archiviati nell’anagrafica dipendenti
• RISERVATEZZA
- Divulgazione
Esempio – Pubblico sulla Pagina Facebook dell’azienda una foto di 3 dipendenti mentre si ubriacano alla festa di fine anno.
- Accesso
Esempio – Viene bucato il gestionale della banca. I dati di centinaia di migliaia di correntisti sono visibili agli hacker.
Quindi l’analisi dei rischi non si basa su lunghe check list complicate o su tabelle che attraverso formule matematiche compilate da un ingegnere termonucleare tentano di determinare se l’azienda è a rischio di incendio oppure no. Così è un costo. È una scelta inefficiente. L'analisi dei rischi è efficace quando il suo fine ultimo è determinare l'esistenza dei sei rischi indicati nel Regolamento e le contromisure prese per ridurli. Solo in questo modo l'analisi dei rischi sarà adeguata allo stile dell’azienda, alle sue modalità di lavoro e alla sua capacità di spesa e si rivelerà davvero utile per evitare sanzioni.
Le contromisure per ridurre il rischio
Quali contromisure adottare per ridurre il rischio? Non c’è niente di obbligatorio e qualche contromisura è solo consigliata, quindi possono essere diverse e di diversa natura, ed è il titolare del trattamento che deve decidere quali contromisure utilizzare.
Anche qui però ho visto di tutto, per esempio la Focus Station, una piccola piramide in alabastro che viene caricata di energia positiva a fronte dei tuoi trattamenti e ti garantisce un abbattimento del rischio. Ma stiamo scherzando? E questo è il caso eclatante, perché c’è anche chi ti dice che devi mettere gli estintori nuovi e che sono obbligatori per il GPDR. Ma dico. Perché devi dire una cosa del genere? Non funziona così.
Primo, le contromisure non sono solo quelle fisiche, ma sono anche organizzative, e in tutti i casi richiedono logica e buon senso. Secondo, il percorso per l'accountability non è fatto solo di strumenti, è fatto anche di persone e di comportamenti, di formazione agli addetti e ai responsabili.
Quindi in base ai dati che tratti, a come li tratti, perché li tratti, dovrai trovare le contromisure più adatte per avere un rischio residuale basso. Lascia perdere la Focus Station e gli estintori GDPR compliant!
Responsabilità: sai se i tuoi responsabili esterni sono compliant al GDPR?
Una delle novità più impattanti introdotte dal GDPR, oltre al privacy by design, è la nomina del responsabile del trattamento. Il Regolamento ci dice che dobbiamo nominare responsabili tutte le figure esterne che trattano i dati per conto nostro.
Come nominare i responsabili esterni? Con un atto di nomina o con apposite clausole all’interno di un contratto fra le parti, in ogni caso va fatto per iscritto. Bene, di fronte a questo si è scatenato l’inferno.
Tutti a nominare responsabili del trattamento a ruota libera e senza freni.
Aziende che ti dicono: “Tu tratti i dati miei? Tiè, ti nomino responsabile!”
E io: “Ok, bene. Fammi vedere la nomina.”
Guardo la nomina e c’è scritto: “Lei è responsabile del trattamento dei dati dei miei dipendenti.”
E io: “Di tutti i trattamenti?”
E l’azienda: “Sì, di tutti! Me l’ha scritta l’avvocato!”
E io: “No, io tratto nomi e cognomi per questa finalità. Stop. E su questo trattamento ti devo garantire il rischio residuale basso.”
Ma acciderbolina, io – come PrivacyLab – sarò responsabile solo di alcuni trattamenti. Non posso essere responsabile di tutti i trattamenti che riguardano i tuoi dipendenti. Lo studio paghe sarà responsabile per alcuni trattamenti, così come chi gestisce il software, chi ti segue per gli aspetti legali e così via.
Questo è il primo aspetto, poi come responsabile esterno devo dimostrare di essere GDPR compliant e infatti il Regolamento Europeo stabilisce anche che:
- il titolare del trattamento ha l’obbligo di verificare che il suo responsabile esterno sia compliant GDPR e quindi che si comporti in maniera adeguata, abbia adeguate contromisure, tratti i dati in modo che il rischio residuale sia basso;
- il titolare del trattamento deve avere sotto controllo costante la catena dei responsabili; quindi, per esempio, se affida dei dati allo studio paghe, perché faccia le paghe dei suoi dipendenti, deve sapere se lo studio paghe, a sua volta, affida una parte dei trattamenti ad un altro responsabile, che potrebbe essere chi gli ha fatto il software, chi gli gestisce il Cloud e così via. Questa catena deve essere chiara dall’inizio.
Per essere accountable deve essere certificata tutta la catena dei comportamenti e della compliance al GDPR.
Accountability significa anche fornire delle prove
Sei accountable? Bene, ma non basta dire che lo sei. Devi anche testimoniarlo, dare delle prove.
Devi riuscire a documentare che sei consapevole, competente e responsabile, riportare tutto quello che fai nel Registro dei trattamenti, quali contromisure hai adottato e perché.
Devi dimostrare di riuscire a governare il processo. Non sei un pilota in balìa delle onde. Sei un pilota che sa quello che fa e lo puoi dimostrare, perché hai preso la patente nautica, hai GPS e strumenti, hai partecipato a decine di regate. Non subisci, ma gestisci.
Inoltre, dimostrare la propria accountability è fondamentale anche nella gestione di un Data Breach.
Se c’è stata una violazione dei dati di tipo 2 – una violazione che può mettere a rischio i diritti e le libertà delle persone, e che quindi va notificata al Garante e agli interessati – e riesci a testimoniare che hai trattato i dati i dati a fronte di un privacy by design con rischio residuale basso, hai fatto la DPIA e hai messo in atto tutte le contromisure necessarie, sei più difendibile.
Perché le violazioni succedono e tu devi essere pronto a dimostrare di aver fatto tutto il possibile per minimizzare i rischi.
RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.