Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

SPONSORED STORY

Gdpr: con InfoCert, l’accountability diventa “trusted”

Il nuovo regolamento europeo richiede un sistema per l’esercizio dei diritti del data subject: in futuro un numero crescente di soggetti chiederà di ottenere i propri dati, cancellarli o rettificarli. Bisognerà identificare in modo certo il richiedente e un aiuto può arrivare dai servizi trusted

29 Mag 2018

Il Gdpr è un regolamento che impone a chi tratta dati personali di applicare tutte le misure necessarie affinché tali dati siamo sempre protetti e il loro uso minimizzato. Tuttavia – ormai è noto – il Gdpr non dà indicazione degli strumenti da implementare per raggiungere l’obiettivo e lascia l’onere di tali scelte ai Titolari del trattamento. Non per nulla una delle parole-chiave del Regolamento è accountability: un termine che in italiano spesso viene tradotto con responsabilità o responsabilizzazione.

In realtà, si tratta di una traduzione deficitaria: nella sua originaria accezione anglosassone, oltre al concetto di responsabilità il termine esprime anche l’onere di fornire le prove.

Infatti, secondo il principio dell’accountability, il Titolare del trattamento deve essere sempre in grado di produrre una serie di evidenze per dimostrare perché è in possesso di un dato specifico, come lo sta trattando e perché, quale scelta di conservazione ha fatto per proteggerlo al meglio, e così via.

Poter fornire con tempestività le dovute spiegazioni è dunque essenziale per essere “Gdpr compliant”: una bella sfida ma non impossibile. Specialmente con il supporto di strumenti trusted, quali soluzioni di identità, firma e conservazione digitali.

E per comprendere meglio il valore dei trusted services in ambito Gdpr, ecco due esempi.

Per  la raccolta del consenso, il Titolare ha l’onere di dimostrare di avere l’autorizzazione al trattamento del dato da parte del data subject. Se questo avviene in maniera digitale, con l’applicazione di una firma avanzata o qualificata, come ad esempio quella offerta da InfoCert – Gruppo Tecnoinvestimenti, il Titolare avrà sempre traccia di tutti passaggi relativi a tale raccolta e potrà facilmente darne evidenza in modo da essere accountable. Un fatto ancora più rilevante se la raccolta del consenso avviene in campo sanitario dove, peraltro, agli obblighi della normativa europea si vanno a sommare quelli della normativa di settore in tema di consenso informato.

Il secondo esempio riguarda invece l’identità certa del data subject.

Oggi, l’attenzione di quasi tutti i Titolari è concentrata sulle cosiddette “necessità di avvio”: le informative sul consenso, la raccolta del dato, la sua conservazione sicura… Il Gdpr richiede però di avere anche un sistema che consenta l’esercizio dei diritti del data subject: questo significa che in futuro ci sarà un numero crescente di soggetti che, in maniera organizzata o meno, chiederà di ottenere i propri dati, cancellarli o rettificarli. Chi tratta il dato dovrà essere in grado di identificare in modo certo il soggetto richiedente, per non correre il rischio di consegnare dati personali a soggetti che non ne sono i legittimi proprietari! Anche in questo caso, per essere accountable, un aiuto può arrivare dai servizi trusted: lo stesso Spid è già un sistema valido cui appoggiarsi per raggiungere lo scopo e InfoCert, con InfoCert ID, è stato tra i primi provider accreditati da AgID.

Peraltro, che i trusted services possano giocare un ruolo cruciale in ambito Gdpr lo si può evincere anche dal fatto che tale Regolamento nasce contemporaneamente ad un’altra normativa europea: il Regolamento eIDAS, nel cui ambito InfoCert è service provider qualificato. In vigore quasi dallo stesso periodo, i due regolamenti sono l’evidenza della volontà del legislatore europeo di costruire un Digital Single Market basato sulla sicurezza, il trust e la privacy. E, se il Gdpr mostra chiaramente l’obiettivo da perseguire, eIDAS indica quali sono gli strumenti da mettere in campo per raggiungere lo scopo ed essere accountable. Anzi: trusted accountable.

@RIPRODUZIONE RISERVATA
Argomenti trattati

Approfondimenti

G
GDPR
I
infocert

Articolo 1 di 5