Il principio cardine del GDPR: l’accountability

Il Regolamento Generale sulla Protezione dei Dati Personali (GDPR) n. 679/2016, ha esplicitamente introdotto il principio anglosassone della “accountability”.

Per comprendere, però, cosa voglia dire, al di là della semplice letterale traduzione in responsabilità rafforzata, dobbiamo leggere il documento “Opinion 3/2010 on the principle of accountability” redatto al gruppo di lavoroarticolo 29il 13 luglio 2010 [1].

I due principi della responsabilità del titolare del trattamento dei dati

Qui, viene esplicitato come laaccountability«si concentrerebbe su due elementi principali :

• la necessità per un responsabile del trattamento diadottare misure appropriate ed efficaciper attuare i principi di protezione dei dati;
• la necessità didimostrare su richiesta[ delle Autorità di Controllo ]che sono state adottate misure appropriate ed efficaci sono state adottate».

In buona sostanza, per il titolare del trattamento è necessario «definire e attuare le misure necessarie per garantire il rispetto dei principi e degli obblighi della Direttiva 679/2016 e diverificare periodicamente la loro efficacia».

La “cassetta degli attrezzi” del titolare del trattamento dei dati

Per realizzare tali risultati è sicuramente necessario «assegnare risorse sufficienti per la gestione della privacy» e quindi costruire una «cassetta degli attrezzi».

Questa potrebbe essere composta da una serie di elementi, quali:

• «la designazione di persone responsabili dell’organizzazione della protezione dei dati»;

nonché la creazione di :

• «procedure per assicurare l’identificazione di tutti i trattamenti di dati»;
• «procedure per gestire le richieste di accesso, correzione e cancellazione»;
• «un meccanismo interno di gestione dei reclami»;
• «procedure interne per la gestione efficace e la segnalazione di violazioni della sicurezza»;
• «procedure di verificaper garantire che tutte misure non esistano solo sulla carta, ma che siano attuate e funzionino in pratica (audit interni o esterni, ecc.)».

L’accountability salvaguarda il titolare del trattamento dalle sanzioni

Si tratta di misure idonee a poter dimostrare l’adeguatezza dei propri processi di conformità; saràil primo parametro di misura delle nuove temibili sanzioni.

Occorre qui ricordaregli articoli 77 e 82 del GDPR.

La prima norma statuisce che «l’interessato che ritenga che il trattamento che lo riguarda violi il Regolamento hail diritto di proporre reclamo a un’Autorità di controllo».

La seconda, invece, ricorda come «chiunque subisca un danno materiale o immateriale causato da una violazione del Regolamento hail diritto di ottenere il risarcimento del danno».

In particolare, «ogni titolare del trattamento o responsabile del trattamento è responsabile in solido per l’intero ammontare del danno, al fine di garantire il risarcimento effettivo dell’interessato».

L’articolo 83 del GDPRspiega che, quando si tratta di «decidere se infliggere una sanzione amministrativa pecuniaria e di fissare l’ammontare della stessa», la predisposizione e il rispetto di norme di protezione dei dati e delle procedure previste dal GDPR hanno un impatto positivo per l’Autorità di controllo.

Si terrà conto, infatti:

• «delle misure tecniche e organizzative da essi messe in atto»;
• nonché «se e in che misura il titolare del trattamento o il responsabile del trattamento ha notificato la violazione»; ovvero se l’Autorità di Controllo è venuta a conoscenza della violazione da parte del titolare del trattamento ovvero da parte dell’interessato.

In definitiva, questa valuterà «il carattere doloso o colposo della violazione».

Al giorno d’oggi, stiamo assistendo al cosiddetto effettodiluvio di dati, dovela quantità di dati personali che esistono, sono trattati e vengono ulteriormente trasferiti continua a crescere.La quantità sempre crescente di informazioni personali è accompagnata da un aumento del suo valore in termini sociali, politici ed economici. In alcuni settori, in particolare nell’ambienteonline,i dati personali sono diventati di fatto la moneta di scambioper i contenutionline.

Queste considerazioni dovrebbero imporre a chiunque gestiscadati personalia riflettere sullacompleta e corretta implementazione del GDPR nella propria azienda[2].

Purtroppo, a riguardo, le aziende italiane sono in grave ritardo [3]. Sembrerebbe chenel nostro paese solo il 21% d’esse sarebbe conforme al GDPR.

–

Fonti e Note:

[1] WP173, 13 luglio 2010,[Download non trovato][PDF, EN]

[2] Il Regolamento Europeo 679/2016 non incide sulla già esistentedirettiva 2002/58/CErelativa al “trattamento dei dati personali dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche” cui, pure, occorrerà dare seguito.

[3]Privacy.it, 30 settembre 2019, “GDPR, aziende italiane in grave ritardo: in regola solo 1 su 5”.

>>> Link d’approfondimento:Garante della PrivacyedEuropean Data Protection Board.