GDPR come strumento per garantire l’accountability

Il principio di Responsabilizzazione alla base del Regolamento UE 679/2016

E’ del 13 luglio 2010 il Parere 3/2010 sul principio di responsabilità elaborato dal working party 29 il Gruppo di lavoro istituito in virtù dell’articolo 29 della direttiva 95/46/CE, sostituito oggi dall’European Data Protection Board (Comitato europeo per la protezione dei dati) introdotto dal nuovo Regolamento europeo.

Nell’introduzione al summenzionato parere, si legge testualmente che: “La protezione dei dati deve passare “dalla teoria alla pratica”. Gli obblighi giuridici devono essere tradotti in misure concrete di protezione dei dati. Per favorire la protezione dei dati nella pratica, il quadro giuridico dell’UE in materia necessita di meccanismi aggiuntivi. Nei dibattiti sul futuro del quadro europeo e globale sulla protezione dei dati, sono stati proposti meccanismi basati sulla responsabilità come mezzo per incoraggiare i responsabili del trattamento ad attuare strumenti pratici per una protezione dei dati efficace”.

E proprio la parola responsabilità costituisce il concetto cardine anche alla base del nuovo Regolamento UE, all’interno del quale, l’ “Accountability” rappresenta uno dei pilastri su cui si fonda tutto l’impianto normativo del GDPR.

Cosa significa innanzitutto Accountability?

Nonostante non sia univoca la traduzione letterale di tale termine, possiamo definire  Accountability  con la parola “responsabilizzazione” imponendo al Titolare del trattamento l’adozione di comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione del Regolamento 679/2016.

Il concetto comporta che venga completamente ribaltata la prospettiva del previgente codice privacy lasciando al Titolare la possibilità di dimostrare le proprie scelte in tema di data protection (finalità del trattamento, misure di sicurezza, scelta di un DPO) senza dover per forza essere in difetto in mancanza di un adempimento previsto dal GDPR ma che in concreto, la mancata attuazione, non comporta rischi per i diritti e le libertà degli interessati.

Il Regolamento pone con forza l’accento sulla “responsabilizzazione” (accountability nell’accezione inglese) di titolari e responsabili – ossia, sull’adozione di comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione del regolamento (artt. 23-25, in particolare, e l’intero Capo IV del regolamento).

Si tratta di una grande novità per la protezione dei dati in quanto viene affidato ai Titolari del trattamento il compito di decidere autonomamente le modalità, le garanzie e i limiti del trattamento dei dati personali – nel rispetto delle disposizioni normative e alla luce di alcuni criteri specifici indicati nel Regolamento GDPR.

Il Regolamento UE 2016/679 rovescia quindi la prospettiva della disciplina in materia di protezione dei dati personali in quanto tutto il nuovo quadro normativo è prevalentemente incentrato sui doveri e sulla responsabilizzazione del titolare del trattamento

Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento. Dette misure sono riesaminate e aggiornate qualora necessari

Il titolare, quale soggetto che determina le finalità e i mezzi del trattamento, nonchè le misure di sicurezza, ha maggiore discrezionalità nel decidere come conformarsi alle disposizioni del nuovo regolamento, ma ha l’onere di dimostrare le ragioni a supporto di tali decisioni e le motivazioni per cui ritiene che le medesime siano compliance con il Regolamento.

Chi vi è tenuto a rispettare tale principio?  Tutti; non solo il titolare del trattamento ma anche i responsabili, il DPO e il personale incaricato; ed invero, il principio in esame deve essere ben conosciuto d a chi assume il ruolo del Data Protection Officer nonché deve essere rispettato mediante la divulgazione  e la garanzia di una formazione e sensibilizzazione del personale dipendente e dei collaboratori.

Inoltre, non basta per il Titolare dimostrare di essere accountability nelle scelte iniziali ma deve necessariamente attuare una revisione dei processi, riesaminando e aggiornando le misure adottate, dovendo assicurare, unitamente al Responsabile del trattamento – su base continua – la riservatezza, l’integrità e la disponibilità dei dati personali.

Avv. Eleonora Mataloni

Condividi
Cart
Your cart is currently empty.