Il principio cardine del GDPR: l’accountability

Il Regolamento Generale sulla Protezione dei Dati Personali ( GDPR ) n. 679/2016, ha esplicitamente introdotto il principio anglosassone della “accountability”.

Per comprendere, però, cosa voglia dire, al di là della semplice letterale traduzione in responsabilità rafforzata, dobbiamo leggere il documento “Opinion 3/2010 on the principle of accountability” redatto al gruppo di lavoro articolo 29 il 13 luglio 2010 [1].

I due principi della responsabilità del titolare del trattamento dei dati

Qui, viene esplicitato come la accountability « si concentrerebbe su due elementi principali :

• la necessità per un responsabile del trattamento di adottare misure appropriate ed efficaci per attuare i principi di protezione dei dati;
• la necessità di dimostrare su richiesta [ delle Autorità di Controllo ] che sono state adottate misure appropriate ed efficaci sono state adottate ».

In buona sostanza, per il titolare del trattamento è necessario « definire e attuare le misure necessarie per garantire il rispetto dei principi e degli obblighi della Direttiva 679/2016 e di verificare periodicamente la loro efficacia ».

La “cassetta degli attrezzi” del titolare del trattamento dei dati

Per realizzare tali risultati è sicuramente necessario « assegnare risorse sufficienti per la gestione della privacy » e quindi costruire una « cassetta degli attrezzi ».

Questa potrebbe essere composta da una serie di elementi, quali:

• « la designazione di persone responsabili dell’organizzazione della protezione dei dati »;

nonché la creazione di :

• « procedure per assicurare l’identificazione di tutti i trattamenti di dati »;
• « procedure per gestire le richieste di accesso, correzione e cancellazione »;
• « un meccanismo interno di gestione dei reclami »;
• « procedure interne per la gestione efficace e la segnalazione di violazioni della sicurezza »;
• « procedure di verifica per garantire che tutte misure non esistano solo sulla carta, ma che siano attuate e funzionino in pratica (audit interni o esterni, ecc.) ».

L’accountability salvaguarda il titolare del trattamento dalle sanzioni

Si tratta di misure idonee a poter dimostrare l’adeguatezza dei propri processi di conformità; sarà il primo parametro di misura delle nuove temibili sanzioni.

Occorre qui ricordare gli articoli 77 e 82 del GDPR.

La prima norma statuisce che « l’interessato che ritenga che il trattamento che lo riguarda violi il Regolamento ha il diritto di proporre reclamo a un’Autorità di controllo ».

La seconda, invece, ricorda come « chiunque subisca un danno materiale o immateriale causato da una violazione del Regolamento ha il diritto di ottenere il risarcimento del danno ».

In particolare, « ogni titolare del trattamento o responsabile del trattamento è responsabile in solido per l’intero ammontare del danno, al fine di garantire il risarcimento effettivo dell’interessato ».

L’articolo 83 del GDPR spiega che, quando si tratta di « decidere se infliggere una sanzione amministrativa pecuniaria e di fissare l’ammontare della stessa », la predisposizione e il rispetto di norme di protezione dei dati e delle procedure previste dal GDPR hanno un impatto positivo per l’Autorità di controllo.

Si terrà conto, infatti:

• « delle misure tecniche e organizzative da essi messe in atto »;
• nonché « se e in che misura il titolare del trattamento o il responsabile del trattamento ha notificato la violazione »; ovvero se l’Autorità di Controllo è venuta a conoscenza della violazione da parte del titolare del trattamento ovvero da parte dell’interessato.

In definitiva, questa valuterà « il carattere doloso o colposo della violazione ».

Al giorno d’oggi, stiamo assistendo al cosiddetto effetto diluvio di dati, dove la quantità di dati personali che esistono, sono trattati e vengono ulteriormente trasferiti continua a crescere. La quantità sempre crescente di informazioni personali è accompagnata da un aumento del suo valore in termini sociali, politici ed economici. In alcuni settori, in particolare nell’ambiente online, i dati personali sono diventati di fatto la moneta di scambio per i contenuti online.

Queste considerazioni dovrebbero imporre a chiunque gestisca dati personali a riflettere sulla completa e corretta implementazione del GDPR nella propria azienda [2].

Purtroppo, a riguardo, le aziende italiane sono in grave ritardo [3]. Sembrerebbe che nel nostro paese solo il 21% d’esse sarebbe conforme al GDPR.

–

Fonti e Note:

[1] WP173, 13 luglio 2010, Opinion 3/2010 on the principle of accountability [PDF, EN]

[2] Il Regolamento Europeo 679/2016 non incide sulla già esistente direttiva 2002/58/CE relativa al “trattamento dei dati personali dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche” cui, pure, occorrerà dare seguito.

[3] Privacy.it, 30 settembre 2019, “GDPR, aziende italiane in grave ritardo: in regola solo 1 su 5”.

>>> Link d’approfondimento: Garante della Privacy ed European Data Protection Board.