Cosa significa accountability?

20 ottobre 2018Ultimo aggiornamento 19 novembre 2019
Tempo di lettura stimato: 8'

Cosa significa accountability?  

Accountability vuol dire essere responsabili, essere degni di fiducia. Accountability è l’azienda, l’ente, l’associazione o il professionista che tratta i dati personali con la consapevolezza che quelle informazioni non sono sue e che deve fare tutto il possibile perché non accada loro nulla di male. 
È come quando saliamo sul Frecciarossa, che in fondo non è altro che una scatola di metallo che viaggia a 300 km orari. Saremmo dei pazzi a decidere consapevolmente di prendere un mezzo del genere, ma noi ci fidiamo. Ci fidiamo di chi l’ha costruito, di chi fa la manutenzione, di chi fa le riparazioni, perché sono accountability: sono consapevoli del rischio che potrebbero correre i passeggeri se qualcosa dovesse andare storto e hanno progettato il treno e i sistemi di sicurezza per ridurre i pericoli ai minimi termini.
La stessa cosa avviene con i dati personali. Chi li raccoglie ha l’obbligo di essere responsabile, ancora prima di fare qualsiasi trattamento. Lo dice il Regolamento Europeo sulla protezione dei dati, ma è anche una questione di etica e di buon senso: i dati personali dei dipendenti, dei clienti, dei pazienti, degli alunni, dei cittadini non sono nostri, ce li hanno affidati e noi abbiamo il dovere di proteggerli. 
Dobbiamo essere degni della loro fiducia e il GDPR ha formalizzato questo dovere con il concetto di accountability.


Accountability: consapevoli, competenti e responsabili 

Il Regolamento ci dice che ancora prima gestire il dato – in quanto titolari e responsabili - dobbiamo verificare che il trattamento abbia un rischio residuale basso
Quindi ci dice che dobbiamo agire prima del problema, essere proattivi, valutando in anticipo i rischi e adottando delle contromisure: è il concetto di privacy by design
Benissimo. Quindi la prima cosa che devi fare per essere accountability è essere consapevole dei trattamenti che fai, altrimenti come fai a sapere quali rischi corrono i dati se non sai quali dati tratti?


Consapevolezza: sai quali dati personali tratti? 

Sai quali dati personali tratti? PrivacyLab

Il problema oggi è proprio questo: aziende, imprenditori, consulenti, professionisti non sono consapevoli.
Alla domanda: “Sai quali trattamenti fai?”
La risposta dell’imprenditore medio è: “Ma dai, i soliti, quelli obbligatori per legge.”
E io: “Ok, va benissimo, ma quali sono?”
E lui: “I soliti: buste paga, permessi… le solite cose…”
“Bene” gli dico “Hai un sito web?”
E lui: “Ma certo!”
“La Pagina Facebook?”
E lui: “Certamente”
“Ok, cosa ci fai con la Pagina Facebook?”
E scopro che ci fa le sporcaccionate più grosse!
Prende e clusterizza le informazioni, le mette nel cruscotto di Mailchimp dove automaticamente manda le mail a quelli che hanno visitato la sua Pagina Facebook e hanno messo mi piace a certe cose, fa AdWords, usa le App…
E lo fanno tutti. 
Fanno sporcaccionate con i dati personali degli altri e non se ne rendono conto. Non sanno che quelli sono trattamenti.
Quindi la prima cosa da fare per essere consapevoli è formarsi e avere dei consulenti al proprio fianco che siano un aiuto. Non rivolgersi a dei gibboni che creano solo confusione e allarmismi, ma a professionisti capaci, che sappiano spiegare con chiarezza e che affianchino il titolare del trattamento e i responsabili nel processo di compliance GDPR, perché sappiano sempre dove si trovano i dati raccolti, di chi sono, come vengono utilizzati e perché. 


Competenza: i trattamenti che stai facendo hanno un rischio residuale basso?

Il GDPR dice che bisogna fare trattamenti solo se il rischio residuale è basso. Quindi va fatta un’analisi dei rischi. E sull’analisi dei rischi ho visto di tutto. 
Ho visto Associazioni di Categoria che, per mettere a norma le imprese, hanno mandato questionari in Excel con una lista di domande fenomenali, del tipo: dai una valutazione da 1 a 10 sulla capacità empatica dei capoufficio di riuscire a rispondere in maniera corretta alle tue domande. 
Ma perché? Che senso ha? 
Perché l’artigiano, il panettiere, l’azienda con 3 dipendenti – occhio che il GDPR riguarda tutti, anche loro! - deve stare lì a diventare di gomma con una lista di 119 accadimenti per fare l’analisi dei rischi? Non è efficiente, non è razionale. 
Le cose vanno fatte cum grano salis! 
Invece, alle volte sembra davvero che la valutazione dei rischi sulla protezione dei dati sia qualcosa di incomprensibile, che si debba scomodare il CERN per calcolarli, mettendoci dentro di tutto: incendi, terremoti, l’invasione aliena, il meteorite… Ma l’incendio non è un rischio, è una sfiga, è un accadimento, per quanto riguarda la privacy; il terremoto e il meteorite che colpisce la Terra non sono rischi, sono accadimenti. I rischi per i dati personali sono pochi e facilmente identificabili.
 

I rischi per i dati personali sono 6

I rischi per i dati personali sono solo 6 e vanno valutati guardando al caso specifico, a quello che fa l’azienda e a come si muove:  

• DISPONIBILITÀ 

-Distruzione accidentale o illegale
Esempio – Cancello l’unico file con l’anagrafica dei clienti persone fisiche della mia azienda e non posso più recuperarli

- Indisponibilità 
Esempio – L’azienda prende un Cryptolocker che blocca tutti i documenti e non permette l’accesso

- Perdita
Esempio – Viene rubato un portatile con all’interno una serie di documenti, o si rompe il disco del Computer e non sono più disponibili i file
• INTEGRITÀ 

- Alterazione
Esempio – Modifico per errore i dati personali di Giulia archiviati nell’anagrafica dipendenti
• RISERVATEZZA 

- Divulgazione 
Esempio – Pubblico sulla Pagina Facebook dell’azienda una foto di 3 dipendenti mentre si ubriacano alla festa di fine anno.  

- Accesso
Esempio – Viene bucato il gestionale della banca. I dati di centinaia di migliaia di correntisti sono visibili agli hacker.


Quindi l’analisi dei rischi non si basa su lunghe check list complicate o su tabelle che attraverso formule matematiche compilate da un ingegnere termonucleare tentano di determinare se l’azienda è a rischio di incendio oppure no. Così è un costo. È una scelta inefficiente. L'analisi dei rischi è efficace quando il suo fine ultimo è determinare l'esistenza dei sei rischi indicati nel Regolamento e le contromisure prese per ridurli. Solo in questo modo l'analisi dei rischi sarà adeguata allo stile dell’azienda, alle sue modalità di lavoro e alla sua capacità di spesa e si rivelerà davvero utile per evitare sanzioni.


Le contromisure per ridurre il rischio

Quali contromisure adottare per ridurre il rischio? Non c’è niente di obbligatorio e qualche contromisura è solo consigliata, quindi possono essere diverse e di diversa natura, ed è il titolare del trattamento che deve decidere quali contromisure utilizzare
Anche qui però ho visto di tutto, per esempio la Focus Station, una piccola piramide in alabastro che viene caricata di energia positiva a fronte dei tuoi trattamenti e ti garantisce un abbattimento del rischio. Ma stiamo scherzando? E questo è il caso eclatante, perché c’è anche chi ti dice che devi mettere gli estintori nuovi e che sono obbligatori per il GPDR. Ma dico. Perché devi dire una cosa del genere? Non funziona così.
Primo, le contromisure non sono solo quelle fisiche, ma sono anche organizzative, e in tutti i casi richiedono logica e buon senso. Secondo, il percorso per essere accountability non è fatto solo di strumenti, è fatto anche di persone e di comportamenti, di formazione agli addetti e ai responsabili.
Quindi in base ai dati che tratti, a come li tratti, perché li tratti, dovrai trovare le contromisure più adatte per avere un rischio residuale basso. Lascia perdere la Focus Station e gli estintori GDPR compliance!



Responsabilità: sai se i tuoi responsabili esterni sono compliance GDPR? 

Una delle novità più impattanti introdotte dal GDPR, oltre al privacy by design, è la nomina del responsabile del trattamento. Il Regolamento ci dice che dobbiamo nominare responsabili tutte le figure esterne che trattano i dati per conto nostro. 
Come nominare i responsabili esterni? Con un atto di nomina o con apposite clausole all’interno di un contratto fra le parti, in ogni caso va fatto per iscritto. Bene, di fronte a questo si è scatenato l’inferno. 
Tutti a nominare responsabili del trattamento a ruota libera e senza freni. 
Aziende che ti dicono: “Tu tratti i dati miei? Tiè, ti nomino responsabile!”
E io: “Ok, bene. Fammi vedere la nomina.” 
Guardo la nomina e c’è scritto: “Lei è responsabile del trattamento dei dati dei miei dipendenti.”
E io: “Di tutti i trattamenti?”
E l’azienda: “Sì, di tutti! Me l’ha scritta l’avvocato!”
E io: “No, io tratto nomi e cognomi per questa finalità. Stop. E su questo trattamento ti devo garantire il rischio residuale basso.” 
Ma acciderbolina, io – come PrivacyLab – sarò responsabile solo di alcuni trattamenti. Non posso essere responsabile di tutti i trattamenti che riguardano i tuoi dipendenti. Lo studio paghe sarà responsabile per alcuni trattamenti, così come chi gestisce il software, chi ti segue per gli aspetti legali e così via.
Questo è il primo aspetto, poi come responsabile esterno devo dimostrare di essere GDPR compliance e infatti il Regolamento Europeo stabilisce anche che:
  • il titolare del trattamento ha l’obbligo di verificare che il suo responsabile esterno sia compliance GDPR e quindi che si comporti in maniera adeguata, abbia adeguate contromisure, tratti i dati in modo che il rischio residuale sia basso;
  • il titolare del trattamento deve avere sotto controllo costante la catena dei responsabili; quindi, per esempio, se affida dei dati allo studio paghe, perché faccia le paghe dei suoi dipendenti, deve sapere se lo studio paghe, a sua volta, affida una parte dei trattamenti ad un altro responsabile, che potrebbe essere chi gli ha fatto il software, chi gli gestisce il Cloud e così via. Questa catena deve essere chiara dall’inizio. 
Per essere accountability deve essere certificata tutta la catena dei comportamenti e della compliance al GDPR. 


Accountability significa anche fornire delle prove

Sei accountability? Bene, ma non basta dire che lo sei. Devi anche testimoniarlo, dare delle prove.
Devi riuscire a documentare che sei consapevole, competente e responsabile, riportare tutto quello che fai nel Registro dei trattamenti, quali contromisure hai adottato e perché. 
Devi dimostrare di riuscire a governare il processo. Non sei un pilota in balìa delle onde. Sei un pilota che sa quello che fa e lo puoi dimostrare, perché hai preso la patente nautica, hai GPS e strumenti, hai partecipato a decine di regate. Non subisci, ma gestisci. 
Inoltre, essere accountability è fondamentale anche nella gestione di un Data Breach
Se c’è stata una violazione dei dati di tipo 2 – una violazione che può mettere a rischio i diritti e le libertà delle persone, e che quindi va notificata al Garante e agli interessati – e riesci a testimoniare che hai trattato i dati i dati a fronte di un privacy by design con rischio residuale basso, hai fatto la DPIA e hai messo in atto tutte le contromisure necessarie, sei più difendibile. 
Perché le violazioni succedono e tu devi essere pronto a dimostrare di aver fatto tutto il possibile per minimizzare i rischi. 
RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.

Biografia dell'autore

Andrea Chiozzi è nato a Reggio Emilia il 4 Agosto del 1969, reggiano “testaquadra” DOC come il lambrusco, ed è sposato con Luisa che lo sopporta da più di vent’anni.
Imprenditore e consulente, da più di 12 anni è l’Evangelist del GDPR.

Attività professionali:
Andrea Chiozzi è socio fondatore e CEO di PRIVACYLAB SRL, azienda che si occupa della produzione di PRIVACYLAB GDPR per la gestione avanzata delle attività legate alla compliance per il Regolamento Europeo 679/2016.
Esperto di GDPR e protezione dei dati personali (soprattutto nelle aree più problematiche quali il marketing digitale e i social network, il digital advertising, l’Internet of Things, i Big Data, il cloud computing),
Andrea presta consulenza per la media e la grande industria italiana e si occupa di organizzare e condurre i consulenti aziendali ad un approccio ottimizzato alla gestione della Compliance GDPR.
È ideatore del sistema Privacylab e della metodologia applicata ai consulenti certificati GDPR. 
Nel 2003 dà vita alla figura di “Privacy Evangelist” e comincia a girare l’Italia come relatore in vari convegni e corsi in tema di protezione dei dati personali arrivando a evangelizzare più di 10.000 persone.

È commissario d’esame per:

UNICERT per lo schema DSC_12/30 per Consulenti Certificati GDPR
TÜV dello schema CDP_ 201 Privacy Officer, Bureau Veritas
CEPAS Bureau Veritas DATA PROTECTION OFFICER per lo schema SCH73 norma Uni 11697:2017 (Accredia) 
ACS ITALIA DATA PROTECTION OFFICER per lo schema SCH01 norma Uni 11697:2017 (Accredia)
UNIVERSAL Gmbh DAKKS per lo schema ISO/IEC 17024:2012 "DATA PROTECTION OFFICER"

E' certificato con:
Unicert come "Consulente Certificato GDPR" n. 18203RE22
TÜV come “Privacy Officer e Consulente Privacy” n. CDP_196.
Cepas Bureau Veritas "Data protection Officer" n. DPO0206
UNICERT DAKKS " Data Protection Officer" n. DPO 0818 010012

Fa parte del Comitato Scientifico Privacy di Torino Wireless, GDPR Academy e di Agile DPO .

Le categorie

Gli argomenti dei nostri articoli

La guida di PrivacyLab

Per orientarti tra i nostri articoli

Resta informato su quello che succede.

Lasciaci la tua email e riceverai le nostre comunicazioni informative e commerciali

informativa sulla privacy