Compliance: alla scoperta dei segreti di un termine fondamentale per il GDPR

      Commenti disabilitati su Compliance: alla scoperta dei segreti di un termine fondamentale per il GDPR

Quando si parla di GDPR, sono diversi i termini e le espressioni che vengono chiamate in causa e che, non sempre, hanno un significato chiaro. In questo novero è possibile includere parole come “compliance” e frasi come “essere compliant”. Cosa vogliono dire di preciso? Prendendo spunto da uno degli articoli presenti sul blog ufficiale di Privacylab, abbiamo cercato, nelle prossime righe, di dare una risposta.

 

Compliance: cosa significa quando si parla di GDPR?

Cosa significa “compliance” nel momento in cui il termine viene utilizzato in ambito GDPR? Prima di entrare nel vivo di questo aspetto, facciamo presente che abbiamo a che fare con una parola inglese che deriva dal termine to comply, traducibile come “essere conforme”.

Si può parlare di conformità in diversi casi. Giusto per fare qualche esempio, rammentiamo che un’azienda può essere compliant alla legge, ma anche agli standard della filiera di un determinato prodotto.

Questo ci permette di dire che, nel momento in cui si parla di compliance in ambito GDPR, si inquadra la conformità, da parte di un’azienda o di un professionista, al Regolamento Europeo per la Protezione dei Dati. Entrando nel vivo di questo aspetto, è il caso di ricordare che, per risultare conforme alle indicazioni del GDPR, una realtà aziendale deve innanzitutto rispettarne i principi. In seconda istanza, è necessario che vengano adottate procedure organizzative finalizzati a rendere il più possibile basso il rischio relativo alla sicurezza dei dati.

Proseguendo con gli aspetti da tenere in considerazione nel momento in cui si parla di compliance al Regolamento Europeo per la Protezione dei Dati Personali, è doveroso chiamare in causa la necessità, per il titolare del trattamento dei dati e per chi collabora con lui, di essere adeguatamente formati su tutte le implicazioni pratiche del GDPR.

Da non trascurare è anche la conoscenza dei passaggi necessari in situazioni di emergenza come il data breach.

 

Compliance e accountability: ecco cosa sapere

Dopo aver visto cosa significa il termine “compliance” quando viene applicato al GDPR, vediamo bene di cosa si parla quando si chiama in causa il rapporto tra questa parola e il termine “accountability”. Per la precisione, è il caso di dire che, per poter dire di agire con un approccio compliant, è necessario parlare di accountability. Ecco i fondamenti da considerare in merito:

  1. Consapevolezza: sia il titolare del trattamento dei dati, sia il responsabile esterno devono essere perfettamente consapevoli di quello che fanno e avere le idee chiare sui dati che trattano, su dove questi ultimi si trovano, sull’identità degli interessati. Inoltre, è essenziale essere consapevoli di come vengono utilizzati e del perché.
  2. Competenza: a tal proposito, è il caso di rammentare che i dati personali devono essere trattati unicamente nei casi in cui il rischio residuale è basso. Chiaro è che, prima di procedere al trattamento, è necessario effettuare una valutazione del rischio stesso. Grazie alla competenza, non è solo possibile effettuare la suddetta valutazione, ma anche adottare tutte le contromisure necessarie per proteggere i dati dal rischio sopra menzionato.

Una doverosa parentesi va dedicata anche ai rischi. Quali sono i più frequenti? La distruzione – che si concretizza quando, per esempio, una persona procede involontariamente alla cancellazione dell’unico file dove i dati sono riportati – l’indisponibilità, la perdita, l’alterazione, la divulgazione, l’accesso.

In merito alle contromisure, è fondamentale sottolineare che non esistono indicazioni scritte sulla pietra. Spetto al titolare del trattamento dei dati capire come muoversi a seconda della situazione, agendo sia a livello informatico, sia dal punto di vista organizzativo.

Essenziale, come previsto dal GDPR, è anche la verifica dell’adozione delle contromisure da parte dei responsabili esterni (il compito di adottarla spetta al titolare del trattamento).