Da quando il GDPR, il Regolamento Europeo per la Protezione dei Dati Personali, è entrato nelle nostre vite, abbiamo iniziato a familiarizzare con diversi termini ed espressioni.
In questo novero è possibile citare parole come “compliance”. Di cosa si parla di preciso quando la si chiama in causa? Partendo da uno degli articoli del blog ufficiale di Privacy Lab, cerchiamo, nelle prossime righe, di rispondere assieme a questa domanda.
L’etimologia
Come in tanti altri casi, anche in questo l’etimologia ci aiuta molto. La prima cosa da dire in merito è che “compliance” è un termine inglese che deriva dal verbo “to comply”, a sua volta traducibile con “conformarsi”, “essere accondiscendenti”.
Per trovare l’origine di questo termine, però, dobbiamo andare indietro nel tempo ad attingere da quello scrigno prezioso che è la lingua latina, nel cui vocabolario era presente il verbo “complere”, che può essere tradotto con l’italiano “compiere”.
Detto questo, possiamo entrare nel vivo dei significati che possono essere associati all’espressione “essere compliant” in riferimento a una realtà aziendale o a un professionista che porta avanti il suo business.
Cosa significa essere compliant?
Abbiamo chiarito che, quando si parla di essere compliant, si inquadra un approccio che prevede la conformità a delle linee guida messe in primo piano da un soggetto terzo. Un’azienda o un libero professionista possono quindi essere compliant:
- Alla normativa vigente
- A uno standard produttivo o relativo alla gestione dei servizi (in questo caso, si apre la parentesi riguardante la gestione delle certificazioni che attestano la qualità del lavoro di una determinata realtà)
- A un codice deontologico
In questo articolo, però, ci interessa spiegare cosa signfica essere compliant al GDPR. La risposta a questo interrogativo è molto chiara: per poter rientrare nella definizione appena ricordata, è necessario operare in maniera conforme alle linee guida del Regolamento Europeo per la protezione dei dati, con procedure concrete che, ovviamente, variano sulla base dei dati che si trattano.
L’obiettivo è sempre quello di minimizzare il rischio che i suddetti dati personali – o per meglio dire il loro trattamento – possano ripercuotersi sull’interessato dal punto di vista delle discriminazioni o, addirittura, con conseguenze legate alla compromissione della libertà personale.
Compliance al GDPR, l’importanza di un adeguamento globale
Anche chi non ha particolare dimestichezza con tutto quello che ruota attorno alla data protection sa bene che in questo processo sono coinvolte diverse figure. Tra queste, rientrano il titolare del trattamento dei dati e il responsabile. Per poter parlare di compliance al Regolamento Europeo, ogni singola figura deve operare in maniera corretta dal punto di vista delle indicazioni normative e per quanto riguarda gli aspetti organizzativi.
In questo caso, entra in gioco il principio di accountability, che si può declinare considerando i seguenti punti:
- Consapevolezza: a tal proposito, si fa riferimento alla posizione del titolare e del responsabile del trattamento, che devono, in ogni momento, essere consapevoli sia della tipologia di dati che trattano, sia della loro ubicazione. Da non dimenticare quando si sviscera il punto della consapevolezza nell’ambito dell’accountability è il punto della situazione sul motivo per cui i dati vengono trattati.
- Competenza: in questo caso, si prendono in considerazione i processi di valutazione dei rischi in merito al trattamento dei dati. Il Regolamento Europeo prevede la possibilità di concretizzare il trattamento nelle situazioni in cui il rischio residuale di eventualità come la distruzione, l’indisponibilità, la perdita, l’alterazione la divulgazione o l’accesso da parte di persone non autorizzate appare basso.
- Responsabilità: il titolare del trattamento dei dati è obbligato dal GDPR a verificare che anche i soggetti esterni con cui collabora e che trattano dati personali – p.e. lo studio che si occupa delle buste paga di un’azienda – operino in conformità al Regolamento Europeo.