Il Regolamento Generale sulla Protezione dei Dati Personali ( GDPR ) n. 679/2016, ha esplicitamente introdotto il principio anglosassone della “accountability”.
Per comprendere, però, cosa voglia dire, al di là della semplice letterale traduzione in responsabilità rafforzata, dobbiamo leggere il documento “Opinion 3/2010 on the principle of accountability” redatto al gruppo di lavoro articolo 29 il 13 luglio 2010 [1].
I due principi della responsabilità del titolare del trattamento dei dati
Qui, viene esplicitato come la accountability « si concentrerebbe su due elementi principali :
- la necessità per un responsabile del trattamento di adottare misure appropriate ed efficaci per attuare i principi di protezione dei dati;
- la necessità di dimostrare su richiesta [ delle Autorità di Controllo ] che sono state adottate misure appropriate ed efficaci sono state adottate ».
In buona sostanza, per il titolare del trattamento è necessario « definire e attuare le misure necessarie per garantire il rispetto dei principi e degli obblighi della Direttiva 679/2016 e di verificare periodicamente la loro efficacia ».
La “cassetta degli attrezzi” del titolare del trattamento dei dati
Per realizzare tali risultati è sicuramente necessario « assegnare risorse sufficienti per la gestione della privacy » e quindi costruire una « cassetta degli attrezzi ».
Questa potrebbe essere composta da una serie di elementi, quali:
nonché la creazione di :
- « procedure per assicurare l’identificazione di tutti i trattamenti di dati »;
- « procedure per gestire le richieste di accesso, correzione e cancellazione »;
- « un meccanismo interno di gestione dei reclami »;
- « procedure interne per la gestione efficace e la segnalazione di violazioni della sicurezza »;
- « procedure di verifica per garantire che tutte misure non esistano solo sulla carta, ma che siano attuate e funzionino in pratica (audit interni o esterni, ecc.) ».
L’accountability salvaguarda il titolare del trattamento dalle sanzioni
Si tratta di misure idonee a poter dimostrare l’adeguatezza dei propri processi di conformità; sarà il primo parametro di misura delle nuove temibili sanzioni.
Occorre qui ricordare gli articoli 77 e 82 del GDPR.
La prima norma statuisce che « l’interessato che ritenga che il trattamento che lo riguarda violi il Regolamento ha il diritto di proporre reclamo a un’Autorità di controllo ».
La seconda, invece, ricorda come « chiunque subisca un danno materiale o immateriale causato da una violazione del Regolamento ha il diritto di ottenere il risarcimento del danno ».
In particolare, « ogni titolare del trattamento o responsabile del trattamento è responsabile in solido per l’intero ammontare del danno, al fine di garantire il risarcimento effettivo dell’interessato ».
L’articolo 83 del GDPR spiega che, quando si tratta di « decidere se infliggere una sanzione amministrativa pecuniaria e di fissare l’ammontare della stessa », la predisposizione e il rispetto di norme di protezione dei dati e delle procedure previste dal GDPR hanno un impatto positivo per l’Autorità di controllo.
Si terrà conto, infatti:
- « delle misure tecniche e organizzative da essi messe in atto »;
- nonché « se e in che misura il titolare del trattamento o il responsabile del trattamento ha notificato la violazione »; ovvero se l’Autorità di Controllo è venuta a conoscenza della violazione da parte del titolare del trattamento ovvero da parte dell’interessato.
In definitiva, questa valuterà « il carattere doloso o colposo della violazione ».
Al giorno d’oggi, stiamo assistendo al cosiddetto effetto diluvio di dati, dove la quantità di dati personali che esistono, sono trattati e vengono ulteriormente trasferiti continua a crescere. La quantità sempre crescente di informazioni personali è accompagnata da un aumento del suo valore in termini sociali, politici ed economici. In alcuni settori, in particolare nell’ambiente online, i dati personali sono diventati di fatto la moneta di scambio per i contenuti online.
Queste considerazioni dovrebbero imporre a chiunque gestisca dati personali a riflettere sulla completa e corretta implementazione del GDPR nella propria azienda [2].
Purtroppo, a riguardo, le aziende italiane sono in grave ritardo [3]. Sembrerebbe che nel nostro paese solo il 21% d’esse sarebbe conforme al GDPR.
–
Fonti e Note:
[1] WP173, 13 luglio 2010, Opinion 3/2010 on the principle of accountability [PDF, EN]
[2] Il Regolamento Europeo 679/2016 non incide sulla già esistente direttiva 2002/58/CE relativa al “trattamento dei dati personali dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche” cui, pure, occorrerà dare seguito.
[3] Privacy.it, 30 settembre 2019, “GDPR, aziende italiane in grave ritardo: in regola solo 1 su 5”.
>>> Link d’approfondimento: Garante della Privacy ed European Data Protection Board.
Lascia un commento