Il GDPR ha introdotto l’ormai famoso principio di “accountability” – tradotto in italiano come principio di “responsabilizzazione”.

In realtà, sarebbe più corretto parlare di principio di “responsabilizzazione proattiva”.

Che significa responsabilizzazione proattiva?

Significa essere in grado di valutare e prevenire situazioni o problemi futuri, in modo da pianificare anticipatamente le azioni opportune.

Il concetto di responsabilizzazione proattiva abbraccia tutto il sistema delineato dal GDPR, e comporta diversi fattori:

  • Un impegno chiaro dell’executive: il CdA o gli organi esecutivi dovrebbero avere chiare le responsabilità che derivano dal trattare dati personali
  • Lo sviluppo, a cascata, di una cultura interna della protezione dei dati personali
  • La definizione e assegnazione di chiare responsabilità e ruoli
  • Lo sviluppo di processi iterativi in grado di garantire nel tempo il rispetto delle disposizioni normative

Responsabilizzazione proattiva e Privacy by design

La responsabilizzazione proattiva è un’estensione diretta del concetto di protezione dei dati by design (o privacy by design).

Privacy by design non significa soltanto sviluppare prodotti e servizi conformi alla normativa e sicuri. Significa anche e soprattutto essere in grado di governare la propria organizzazione tenendo in primaria considerazione la protezione dei dati personali delle persone fisiche.

Se fino a pochi anni fa la privacy era qualcosa di residuale, oggi dovrebbe essere un elemento complementare di ogni obiettivo aziendale – così come la sicurezza delle informazioni.

Le regole del gioco sono cambiate. La protezione dei dati personali è il sostegno su cui poggiare ogni attività aziendale, ogni progetto e ogni processo interno. Non solo perché è un obbligo legale – ma anche e soprattutto perché è ciò che si aspetta il mercato. Come essere plastic free.

Responsabilizzazione difensiva e responsabilizzazione proattiva

In molti interpretano il concetto di responsabilizzazione come sinonimo di “documentazione”. Documentare ciò che si fa, o che non si fa, è certamente una buona abitudine. Tuttavia, non bisogna confondere i due livelli.

Documentare è una forma di responsabilizzazione difensiva, che tende a tutelare l’organizzazione. Il principio di accountability – o responsabilizzazione proattiva – chiede uno sforzo in più.

Responsabilizzazione proattiva non è documentare, – è fare. O meglio ancora: fare, e poi documentare.

Verbalizzare una riunione in cui si parla di privacy e sicurezza, dei rischi, dei problemi e delle possibili soluzioni è un’ottima cosa, ma senza una concreta pianificazione delle attività, del budget, dei ruoli e delle responsabilità – e soprattutto senza attuazione del piano previsto, non può parlarsi di responsabilizzazione – o accountability.