• Passa alla navigazione primaria
  • Passa al contenuto principale
  • Passa alla barra laterale primaria

GoalWeb

  • Home
  • Contatti
  • Link
Ti trovi qui: Home / Privacy / Il principio cardine del GDPR: l’accountability

12 Febbraio 2021 by Autore Lascia un commento

Il principio cardine del GDPR: l’accountability

responsabile della protezione dati

Il Regolamento Generale sulla Protezione dei Dati Personali ( GDPR ) n. 679/2016, ha esplicitamente introdotto il principio anglosassone della “accountability”.

Per comprendere, però, cosa voglia dire, al di là della semplice letterale traduzione in responsabilità rafforzata, dobbiamo leggere il documento “Opinion 3/2010 on the principle of accountability” redatto al gruppo di lavoro articolo 29 il 13 luglio 2010 [1].

I due principi della responsabilità del titolare del trattamento dei dati

Qui, viene esplicitato come la accountability « si concentrerebbe su due elementi principali :

  • la necessità per un responsabile del trattamento di adottare misure appropriate ed efficaci per attuare i principi di protezione dei dati;
  • la necessità di dimostrare su richiesta [ delle Autorità di Controllo ] che sono state adottate misure appropriate ed efficaci sono state adottate ».

In buona sostanza, per il titolare del trattamento è necessario « definire e attuare le misure necessarie per garantire il rispetto dei principi e degli obblighi della Direttiva 679/2016 e di verificare periodicamente la loro efficacia ».

La “cassetta degli attrezzi” del titolare del trattamento dei dati

Per realizzare tali risultati è sicuramente necessario « assegnare risorse sufficienti per la gestione della privacy » e quindi costruire una « cassetta degli attrezzi ».

Questa potrebbe essere composta da una serie di elementi, quali:

  • « la designazione di persone responsabili dell’organizzazione della protezione dei dati »;

nonché la creazione di :

  • « procedure per assicurare l’identificazione di tutti i trattamenti di dati »;
  • « procedure per gestire le richieste di accesso, correzione e cancellazione »;
  • « un meccanismo interno di gestione dei reclami »;
  • « procedure interne per la gestione efficace e la segnalazione di violazioni della sicurezza »;
  • « procedure di verifica per garantire che tutte misure non esistano solo sulla carta, ma che siano attuate e funzionino in pratica (audit interni o esterni, ecc.) ».

L’accountability salvaguarda il titolare del trattamento dalle sanzioni

Si tratta di misure idonee a poter dimostrare l’adeguatezza dei propri processi di conformità; sarà il primo parametro di misura delle nuove temibili sanzioni.

Occorre qui ricordare gli articoli 77 e 82 del GDPR.

La prima norma statuisce che « l’interessato che ritenga che il trattamento che lo riguarda violi il Regolamento ha il diritto di proporre reclamo a un’Autorità di controllo ».

La seconda, invece, ricorda come « chiunque subisca un danno materiale o immateriale causato da una violazione del Regolamento ha il diritto di ottenere il risarcimento del danno ».

In particolare, « ogni titolare del trattamento o responsabile del trattamento è responsabile in solido per l’intero ammontare del danno, al fine di garantire il risarcimento effettivo dell’interessato ».

L’articolo 83 del GDPR spiega che, quando si tratta di « decidere se infliggere una sanzione amministrativa pecuniaria e di fissare l’ammontare della stessa », la predisposizione e il rispetto di norme di protezione dei dati e delle procedure previste dal GDPR hanno un impatto positivo per l’Autorità di controllo.

Si terrà conto, infatti:

  • « delle misure tecniche e organizzative da essi messe in atto »;
  • nonché « se e in che misura il titolare del trattamento o il responsabile del trattamento ha notificato la violazione »; ovvero se l’Autorità di Controllo è venuta a conoscenza della violazione da parte del titolare del trattamento ovvero da parte dell’interessato.

In definitiva, questa valuterà « il carattere doloso o colposo della violazione ».

Al giorno d’oggi, stiamo assistendo al cosiddetto effetto diluvio di dati, dove la quantità di dati personali che esistono, sono trattati e vengono ulteriormente trasferiti continua a crescere. La quantità sempre crescente di informazioni personali è accompagnata da un aumento del suo valore in termini sociali, politici ed economici. In alcuni settori, in particolare nell’ambiente online, i dati personali sono diventati di fatto la moneta di scambio per i contenuti online.

Queste considerazioni dovrebbero imporre a chiunque gestisca dati personali a riflettere sulla completa e corretta implementazione del GDPR nella propria azienda [2].

Purtroppo, a riguardo, le aziende italiane sono in grave ritardo [3]. Sembrerebbe che nel nostro paese solo il 21% d’esse sarebbe conforme al GDPR.

–

Fonti e Note:

[1] WP173, 13 luglio 2010, Opinion 3/2010 on the principle of accountability [PDF, EN]

[2] Il Regolamento Europeo 679/2016 non incide sulla già esistente direttiva 2002/58/CE relativa al “trattamento dei dati personali dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche” cui, pure, occorrerà dare seguito.

[3] Privacy.it, 30 settembre 2019, “GDPR, aziende italiane in grave ritardo: in regola solo 1 su 5”.

>>> Link d’approfondimento: Garante della Privacy ed European Data Protection Board.

Archiviato in:Privacy Contrassegnato con: Privacy

Interazioni del lettore

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Barra laterale primaria

Iscriviti alla nostra NewsLetter

Vuoi tenerti aggiornato su nuovi articoli ed eventi? Niente SPAM, solo un invio SETTIMANALE.

Tag

Android App Diritti dei Minori HTML Immagine immagini Informatica Ipertesti Landing Page leggibilità Link Marketing Privacy Problemi SEO Sicurezza Sito Web Social Sviluppo Web Content

Contenuti con licenza:

Creative Commons License
This work is licensed under a Creative Commons Attribution-ShareAlike 4.0 International License.
  • Note Legali
  • Privacy
  • Cookie

Copyright © 2023 · Executive Pro on Genesis Framework · WordPress · Accedi