Il GDPR, finalmente, evidenzia le situazioni di disorganizzazione. Assistiamo ai tentavitivi di svolgere ciò che non si è fatto finora, soprattutto dal punto di vista della concretezza operativa.
Nel redigere il registro dei trattamenti emerge il problema dell’assessment relativo alle nomine dei responsabili esterni di trattamento.
Ho potuto osservare che alcuni titolari ‘spammano’ i loro fornitori, facendo compilare una dichiarazione di compliance dei loro prodotti/servizi al GDPR, per scaricare a priori la responsabilità da eventuali violazioni sui dati personali.
Secondo me questo approccio è immaturo e sbrigativo: non è accountability. Forse così si dimostra ancora di non aggredire il problema secondo l’ottica di risk assessment, contravvenendo allo spirito della norma, perché si parte già da una soluzione senza aver analizzato preventivamente il rischio.
Come può essere possibile una partnership ed una crescita culturale partendo da queste basi?