GDPR come strumento per garantire l’accountability

GDPR COME STRUMENTO PER GARANTIRE L’ACCOUNTABILITY

(Il principio di Responsabilizzazione alla base del Regolamento UE 679/2016)

 

E’ del 13 luglio 2010 il Parere 3/2010 sul principio di responsabilità elaborato dal working party 29 il Gruppo di lavoro istituito in virtù dell’articolo 29 della direttiva 95/46/CE, sostituito oggi dall’European Data Protection Board (Comitato europeo per la protezione dei dati) introdotto dal nuovo Regolamento europeo.

Nell’introduzione al summenzionato parere, si legge testualmente che: “La protezione dei dati deve passare “dalla teoria alla pratica”. Gli obblighi giuridici devono essere tradotti in misure concrete di protezione dei dati. Per favorire la protezione dei dati nella pratica, il quadro giuridico dell’UE in materia necessita di meccanismi aggiuntivi. Nei dibattiti sul futuro del quadro europeo e globale sulla protezione dei dati, sono stati proposti meccanismi basati sulla responsabilità come mezzo per incoraggiare i responsabili del trattamento ad attuare strumenti pratici per una protezione dei dati efficace”.

E proprio la parola responsabilità costituisce il concetto cardine anche alla base del nuovo Regolamento UE, all’interno del quale, l’ “Accountability” rappresenta uno dei pilastri su cui si fonda tutto l’impianto normativo del GDPR.

Cosa significa innanzitutto Accountability?

Significa “responsabilizzazione” anche se il termine “accountability” non è facilmente traducibile e tale traduzione sia la più frequente ma non da tutti condivisa (alcuni parlano anche proposto traduzioni quali:  “responsabilità rafforzata”, “assicurazione”, “affidabilità”, “attendibilità” “rendicontazione”).

In altri termini, il principio in commento impone al Titolare del trattamento l’adozione di comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione del Regolamento 679/2016.

Si tratta di una grande novità per la protezione dei dati in quanto viene affidato ai Titolari del trattamento il compito di decidere autonomamente le modalità, le garanzie e i limiti del trattamento dei dati personali – nel rispetto delle disposizioni normative e alla luce di alcuni criteri specifici indicati nel Regolamento GDPR.

Il primo fra tali criteri è sintetizzato dall’espressione inglese “data protection by default and by design”,  entrambi principi fondamentali in tema di protezione dei dati personali e disciplinati dall’ art. 25, che sanciscono la necessità di configurare il trattamento prevedendo fin dall’inizio le garanzie indispensabili “al fine di soddisfare i requisiti” del Regolamento e tutelare i diritti degli interessati – tenendo conto del contesto complessivo ove il trattamento si colloca e dei rischi per i diritti e le libertà degli interessati. Tutto questo deve avvenire a monte, prima di procedere al trattamento dei dati vero e proprio (“sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso”, secondo quanto afferma l’art. 25, par. 1 del Regolamento e richiede, pertanto, un’analisi preventiva e un impegno applicativo da parte dei titolari che devono sostanziarsi in una serie di attività specifiche e dimostrabili.

Al fine di rispettare tali prescrizioni, le aziende sono tenute ad attuare misure tecniche ed organizzative adeguate e spetta alle organizzazioni stesse dimostrare non solo gli interventi messi in atto ma anche la loro efficacia.

Questo significa che l’onere di dimostrare la conformità alla legge spetta in primo luogo alle organizzazioni e non alle autorità che operano nell’ambito della protezione dei dati.

Il principio di accountability, oltre a permeare tutto l’impianto del GDRP, trova la sua compiuta definizione negli articoli 5 e 25. L’articolo 5, in particolare, stabilisce la responsabilità del titolare del trattamento quale garante del fatto che il trattamento sia effettuato in modo conforme allo stesso regolamento. Modalità, garanzie e limiti del trattamento dei dati personali possono essere autonomamente stabilite dal titolare del trattamento.

All’articolo 25 si parla, invece, della valutazione di conformità che il titolare stesso deve compiere, tenendo conto di alcuni aspetti, tra cui: Tipologia di dati personali trattati; Rischi derivanti dal trattamento; Adeguamento delle misure sia tecniche che organizzative affinché, per ogni specifica finalità del trattamento, siano trattati solo i dati personali necessari; Tipologia di trattamento effettuato.

Altri spunti relativi all’attuazione del principio di responsabilizzazione sono riscontrabili in ulteriori articoli del GDPR e nello specifico: Art. 30 (istituzione dei registri delle attività di trattamento; Art. 34 (principio di data breach, ossia obbligo di notificazione di una violazione dei dati personali; Art. 37 (istituzione del Data Protection Officer, Responsabile della protezione dei dati); Art. 40 (adozione di Codici di condotta); Art. 42 (istituzione ed adozione di sistemi di certificazione).

Avv. Eleonora Mataloni

Condividi
Cart
Your cart is currently empty.