Per molto tempo molte organizzazioni hanno considerato il GDPR come un insieme di adempimenti formali: informative privacy, registro dei trattamenti, nomina del DPO, contratti con i responsabili del trattamento. Tutti elementi necessari, ma non sufficienti.

La vera conformità non si esaurisce nella presenza dei documenti. Il GDPR richiede un sistema vivo, capace di funzionare nei processi quotidiani e di reagire correttamente quando si verifica un problema. È questo il senso dell’accountability: non solo dichiarare di rispettare le regole, ma dimostrarlo concretamente.

Un esempio utile è la gestione di un data breach. Immaginiamo una clinica odontoiatrica colpita da un attacco ransomware che rende temporaneamente inaccessibili le cartelle cliniche elettroniche dei pazienti. In una situazione simile, il tempo e l’organizzazione interna diventano decisivi.

La clinica deve attivare subito una procedura chiara, già predisposta prima dell’incidente, indicando chi deve essere coinvolto: titolare del trattamento, DPO, responsabile ICT, consulenti legali, vertici aziendali ed eventuali responsabili esterni. L’assenza di una procedura interna rappresenta già un segnale di debolezza organizzativa.

Il passaggio successivo è la valutazione del rischio per gli interessati. Occorre capire quali dati sono coinvolti, quante persone sono interessate, se vi sia stata una possibile esfiltrazione e quali conseguenze possano derivarne. Nel caso di dati sanitari, il livello di attenzione è particolarmente elevato, perché si tratta di informazioni delicate.

Se dalla valutazione emerge un rischio per i diritti e le libertà delle persone, il titolare deve notificare la violazione al Garante entro 72 ore. Quando non tutte le informazioni sono disponibili, è possibile inviare una notifica iniziale e integrarla successivamente. Ciò che conta è dimostrare tempestività, metodo e capacità di gestione.

Nei casi più gravi, quando il rischio per gli interessati è elevato, è necessario comunicare direttamente l’incidente anche alle persone coinvolte. Questa comunicazione deve essere chiara, comprensibile e concreta: deve spiegare cosa è accaduto, quali dati sono stati coinvolti, quali misure sono state adottate e cosa possono fare gli interessati per proteggersi.

Un altro elemento centrale è la documentazione interna. Ogni violazione, anche quando non viene notificata al Garante, deve essere registrata. Il registro degli incidenti consente di ricostruire le circostanze dell’evento, le conseguenze, le decisioni assunte e le azioni correttive adottate per evitare che il problema si ripeta.

Una gestione ordinata e documentata del data breach può incidere anche sulla valutazione dell’Autorità in caso di sanzione. L’articolo 83 del GDPR prevede infatti che, nella determinazione dell’importo, si tenga conto di vari fattori, tra cui la tempestività della risposta, la cooperazione con il Garante, l’adozione di misure preventive e la capacità di limitare gli effetti della violazione.

Al contrario, l’assenza di procedure, il ritardo nelle comunicazioni, la mancata collaborazione con l’Autorità o la gestione improvvisata dell’incidente possono aggravare la posizione dell’organizzazione.

Il punto è chiaro: oggi il Garante non guarda soltanto all’esistenza dei documenti, ma verifica se quei documenti sono realmente applicati. L’accountability non è una cartella archiviata, ma un modo di governare i dati: prevenire, reagire, documentare e migliorare.

Per questo la protezione dei dati deve entrare nei processi decisionali fin dall’inizio. Solo così la conformità al GDPR diventa sostanziale e non soltanto formale.

Articolo ripreso da Federprivacy