GUARDA QUIhttps://www.accademiaitalianaprivacy.it/areaprivata/foto/761/01.jpg
giovedì 2 febbraio 2023
di GDPRlab.it
L'accountability nel GDPR (General Data Protection Regulation) è uno dei pilasti, poiché mira a rendere le organizzazioni responsabili per la protezione dei dati personali.
Il principio di fondo dal quale origina l'accountability, traducibile suppergiù con responsabilizzazione, è quello per cui i dati sono di proprietà dell'interessato. E tali restano anche quando l'interessato decide di concederli ad un'azienda o un'ente per trattarli per una precisa finalità. Ne consegue che il titolare del trattamento dati ha la responsabilità di proteggerli e trattarli "responsabilimente" nel rispetto della normativa, dato che gestisce un bene di proprietà di terzi. Questo principio impone alle aziende di dimostrare la loro conformità al GDPR, anziché semplicemente rispettarlo.
Insomma il principio di accountability (responsabilità) nel GDPR è un concetto che sottolinea l'obbligo, da parte dei titolari del trattamento, di spiegare e giustificare il proprio comportamento per adempiere agli obblighi previsti dalla normativa in materia di privacy e trattamento dei dati personali. É ricavabile dagli articoli 5 e 25 del Regolamento:
Ne consegue che le organizzazioni devono preparare e mantenere documentazione adeguata sulle proprie attività di elaborazione dei dati, comprese le misure di sicurezza adottate per proteggere i dati personali. La documentazione della conformità al GDPR è un elemento cruciale per garantire la corretta attuazione del principio di accountability.
Per cominciare, è necessario che le aziende comprendano a fondo il GDPR e i suoi requisiti, al fine di poter implementare le opportune misure per garantirne la conformità. Una volta identificate le informazioni personali che vengono elaborate, è necessario valutare i rischi per i diritti e le libertà degli interessati e adottare le misure adeguate per prevenire tali rischi. Questo processo di valutazione dei rischi dovrebbe essere documentato in modo adeguato. Oltre a ciò, questa documentazione dovrebbe comprendere anche la descrizione delle categorie di dati personali che vengono elaborate, il periodo di conservazione dei dati, la descrizione delle categorie di destinatari dei dati e i dettagli sulle eventuali trasferte di dati verso paesi al di fuori dell'Unione Europea.
Alcuni esempi:
Il d. lgs. n. 196/2003, noto come "Codice in materia di protezione dei dati personali", era il precedente regolamento privacy italiano che regolamentava il trattamento dei dati personali prima dell'entrata in vigore del GDPR. Il Codice prevedeva il concetto di "responsabilità del titolare" del trattamento dei dati, che implicava che il titolare fosse responsabile della protezione dei dati che trattava. Tuttavia, questo principio di responsabilità era meno formalizzato e meno rigoroso rispetto al principio di accountability previsto dal GDPR. In sintesi, mentre il vecchio regolamento italiano prevedeva il principio di responsabilità, il GDPR ha introdotto il principio di accountability, che è più rigoroso e formalizzato.
Ricordiamo infatti che l'entrata in vigore del GDPR non ha portato all'abrogazione del d. lgs. n. 196/2003, ma solo di alcune parti. Con il Decreto 101/2018 l'Italia ha integrato il Codice di protezione dei dati personali con la normativa europea.
Articolo originale su GDPRlab.it
giovedì 5 dicembre 2024
Leggi tutto...lunedì 2 dicembre 2024
Leggi tutto...lunedì 25 novembre 2024
Leggi tutto...
CONDIVIDI QUESTA PAGINA!