Il GDPR è un regolamento che impone a chi tratta dati personali di applicare tutte le misure necessarie affinché tali dati siamo sempre protetti e il loro uso minimizzato. Tuttavia – ormai è noto – il GDPR non dà indicazione degli strumenti da implementare per raggiungere l’obiettivo e lascia l’onere di tali scelte ai Titolari del trattamento. Non per nulla una delle parole-chiave del Regolamento è accountability: un termine che in italiano spesso viene tradotto con responsabilità o responsabilizzazione.
Il vero significato di “accountability”
In realtà, si tratta di una traduzione deficitaria: nella sua originaria accezione anglosassone, oltre al concetto di responsabilità il termine esprime anche l’onere di fornire le prove.
Infatti, secondo il principio dell’accountability, il Titolare del trattamento deve essere sempre in grado di produrre una serie di evidenze per dimostrare perché è in possesso di un dato specifico, come lo sta trattando e perché, quale scelta di conservazione ha fatto per proteggerlo al meglio, e così via.
GDPR compliant, sfida possibile con i giusti strumenti
Poter fornire con tempestività le dovute spiegazioni è dunque essenziale per essere “GDPR compliant”: una bella sfida ma non impossibile. Specialmente con il supporto di strumenti trusted, quali soluzioni di identità, firma e conservazione digitali.
E per comprendere meglio il valore dei trusted services in ambito GDPR, ecco due esempi.
Il valore dei trusted service
Per la raccolta del consenso, il Titolare ha l’onere di dimostrare di avere l’autorizzazione al trattamento del dato da parte del data subject. Se questo avviene in maniera digitale, con l’applicazione di una firma avanzata o qualificata, il Titolare avrà sempre traccia di tutti passaggi relativi a tale raccolta e potrà facilmente darne evidenza in modo da essere accountable. Un fatto ancora più rilevante se la raccolta del consenso avviene in campo sanitario dove, peraltro, agli obblighi della normativa europea si vanno a sommare quelli della normativa di settore in tema di consenso informato.
Il secondo esempio riguarda invece l’identità certa del data subject.
L’esercizio dei diritti del data subject
Oggi, l’attenzione di quasi tutti i Titolari è concentrata sulle cosiddette “necessità di avvio”: le informative sul consenso, la raccolta del dato, la sua conservazione sicura… Il GDPR richiede però di avere anche un sistema che consenta l’esercizio dei diritti del data subject: questo significa che in futuro ci sarà un numero crescente di soggetti che, in maniera organizzata o meno, chiederà di ottenere i propri dati, cancellarli o rettificarli. Chi tratta il dato dovrà essere in grado di identificare in modo certo il soggetto richiedente, per non correre il rischio di consegnare dati personali a soggetti che non ne sono i legittimi proprietari! Anche in questo caso, per essere accountable, un aiuto può arrivare dai servizi trusted: lo stesso SPID è già un sistema valido cui appoggiarsi per raggiungere lo scopo.
GDPR e Regolamento eIDAS, il ruolo dei trusted service
Peraltro, che i trusted services possano giocare un ruolo cruciale in ambito GDPR lo si può evincere anche dal fatto che tale Regolamento nasce contemporaneamente ad un’altra normativa europea: il Regolamento eIDAS. In vigore quasi dallo stesso periodo, i due regolamenti sono l’evidenza della volontà del legislatore europeo di costruire un Digital Single Market basato sulla sicurezza, il trust e la privacy. E, se il GDPR mostra chiaramente l’obiettivo da perseguire, eIDAS indica quali sono gli strumenti da mettere in campo per raggiungere lo scopo ed essere accountable. Anzi: trusted accountable.
