Entra nella community

Se non sai dimostrarlo, non esiste.

Quando l’accountability è solo sulla carta

C’è un principio che ritorna sempre, quando parliamo di GDPR. È poco citato, spesso dato per scontato. Eppure è il cuore di tutto.

Accountability responsabilizzazione.

Non basta “essere in regola”. Devi poterlo dimostrare.

Oggi ti parliamo di un caso concreto che lo mette in evidenza. E ci riguarda più di quanto pensiamo.

E tu?

Hai una fotografia chiara e aggiornata dei trattamenti effettuati nella tua organizzazione?

  • Usi tecnologie di AI? Hai valutato i rischi?
  • Ti affidi a fornitori esterni? Hai documentato le verifiche?
  • Informative, tempi di conservazione, modalità di pseudonimizzazione: tutto è tracciato e coerente?

L’accountability non si improvvisa. E non si recupera dopo.

 

Conseguenze

In questo caso, la mancanza di trasparenza, l’ambiguità sugli scopi e l’assenza di verifiche concrete hanno portato:

  • a una sanzione di € 21.000;
  • all’obbligo di adeguamento entro 30 giorni;
  • alla conferma della violazione dei dati di almeno 98 pazienti.

Quindi:

Accountability significa poter dimostrare, in ogni momento, che le scelte fatte nel trattamento dei dati sono consapevoli, lecite, proporzionate, e documentate.

Solo così si è conformi al GDPR.

Vuoi capire come costruire una vera cultura dell’accountability nella tua azienda?

Ne parliamo ogni settimana nella newsletter Privacy in azienda. Con casi reali, linguaggio chiaro e approccio pratico.

La privacy non è solo adempimento.

È cultura. È fiducia. È consapevolezza.

 

Leggi il CASO completo.

Condividi:

IL CASO

Intelligenza artificiale e ricerca medica… ma senza trasparenza.

Una società attiva nel settore della ricerca medico-scientifica, specializzata nello sviluppo di tecnologie basate su AI per l’analisi di cellule rare, viene sottoposta ad accertamento ispettivo da parte del Garante.

Il software sviluppato elabora immagini di cellule tumorali provenienti da campioni biologici di pazienti, con l’obiettivo di identificare automaticamente le cellule malate tramite algoritmi di deep learning.

Lo strumento, non ancora autorizzato come dispositivo medico, viene usato sia ai fini di ricerca interna, ma anche in vista di una possibile commercializzazione futura.

I dati utilizzati per l’addestramento dell’algoritmo provengono da una società americana del gruppo, che ha raccolto i consensi tramite un responsabile esterno.

Ma qualcosa non torna.

Documentazione carente, finalità opache.

Durante l’ispezione, il Garante ha messo a fuoco le debolezze strutturali del trattamento, riconducibili a un approccio non sufficientemente conforme al principio di accountability.

L’attività di verifica si è incentrata sulla valutazione della conformità al GDPR dei trattamenti effettuati con particolare attenzione a tre aspetti fondamentali:

  • presupposti di liceità del trattamento;
  • obblighi informativi nei confronti degli interessati;
  • efficacia delle misure di pseudonimizzazione adottate.

Ciò che è emerso è un quadro di informazioni vaghe, finalità ambigue e controlli assenti:

  • Informativa generica e poco trasparente che non spiegava chiaramente l’obiettivo del trattamento, né l’utilizzo dei dati, né la destinazione commerciale del software e la possibile cessione a terzi.
  • Finalità del trattamento poco chiare e disgiunte, non collegate alla patologia trattata.
  • Tempi di conservazione sproporzionati (fino a 25 anni) senza indicazione di criteri documentati né giustificazione oggettiva.
  • Nessuna analisi del rischio di re-identificazione dei dati pseudonimizzati.
  • E soprattutto: nessuna verifica indipendente sulla reale anonimizzazione di quei dati. La società si era limitata a fidarsi del fornitore passivamente.

In breve: la società non è stata in grado di dimostrare in modo documentato liceità, proporzionalità e trasparenza del trattamento.

Quindi: niente accountability.

 

Cosa insegna questo caso?

Che la responsabilizzazione non è solo un concetto giuridico.

È la capacità concreta di dare conto delle proprie scelte.

E, in caso di controllo, di documentarle.

Essere conformi non significa “scrivere bene le informative” o “fare attenzione ai dati sensibili”.

Significa sapere esattamente cosa si sta facendo, perché, con quali strumenti, e poterlo dimostrare. Sempre.

Serve un sistema, non un’intenzione.

LA NOSTRA CONSULENZA

Compliance Data Protection e GDPR

Consulenza

Offriamo una consulenza con un approccio programmatico, strutturato e integrato fondato sull’analisi e gestione dei rischi, sulla valutazione delle debolezze e su interventi mirati che vanno dall’aggiornamento delle misure di sicurezza alla formazione del personale.

La definizione di un corretto assetto organizzativo, in termini di ruoli e responsabilità, ed efficienti processi di sicurezza permettono di ridurre il rischio di rimanere vittime di incidenti informatici.

Non esiste certo una misura definitivamente risolutiva contro le aggressioni informatiche che minacciano la nostra quotidianità ma è possibile giocare di anticipo attraverso un’analisi più accurata possibile del panorama delle minacce.

L’attenzione alla privacy, alla protezione dei dati ed alla sicurezza informatica non è un costo né opzione ma un investimento strategico.

Proteggere i dati aziendali, l’infrastruttura e la continuità aziendale richiede non solo software e tecnologie avanzate ma competenze specialistiche e strategie efficaci.

Non basta guardare all’aspetto tecnico ma occorre portare un cambiamento culturale per promuovere un approccio alla sicurezza.

Occorre garantire il rispetto della normativa senza che l’adempimento diventi burocrazia per andare a cogliere i pro in termini di efficacia ed efficienza dei processi aziendali.

Questo è quello che fa CompetenceLab.

 

Entra nella Community

Vuoi restare in contatto con CompetenceLab?
Organizzare un evento insieme a noi? Oppure proporre un tema su cui riflettere? Entra a far parte della nostra Community!





    CompetenceLab nasce per guidare un cambiamento, per affiancare persone e aziende nello sviluppo di un pensiero critico. Scelte sostenibili per migliorare la nostra società.
    Seguici sui social
    Facebook-f Icon-instagram-2 Icon-linkedin Icon-youtube Tiktok
    Link utili
    Contatti
    • Claudia Sorrenti Avvocato
    • P.I.: 11094161004
    • Powered by Xonex.it