GDPR PRIVACY: Il principio di accountability o responsabilizzazione

Regolamento europeo privacy 2018 accountability o responsabilizzazione

Il concetto di accountability (in inglese) o responsabilizzazione è uno dei concetti più innovati e più importanti espresso nel Regolamento UE 2016/679 o GDPR (General Data Protection Regulation) e può essere definito come il principio della “comprova a carico del titolare del trattamento.

Cerchiamo di approfondire il concetto. In questo articolo parleremo di:

Definizione del principio di accountability

Di accountability o responsabilizzazione il legislatore europeo in primis ne parla nell’articolo 5: accanto all’elenco e alla relativa definizione dei singoli principi che devono guidare tutto l’approccio alla gestione del trattamento dei dati personali, nel II comma viene appunto introdotto il principio di accountability o responsabilizzazione. Il titolare del trattamento deve essere sempre in grado di “comprovare” il pieno rispetto di questi principi nella gestione del trattamento dei dati personali.

E nell’articolo 24, rubricato “Responsabilità del trattamento“, il legislatore ribadisce la responsabilità del titolare del trattamento di assumere misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento sia effettuato conformemente al presente regolamento, tenendo presente sempre del contesto e delle circostanze del trattamento stesso.

Questo quindi comporta per il titolare del trattamento:

  • l’onere di mettere in atto (come pure riesaminare e aggiornare) una serie di adempimenti, che attestino il pieno rispetto dei principi posti dalla nuova disciplina
  • la capacità di poter dimostrare (o meglio comprovare) al Garante o all’Autorità di controllo, con documenti, procedure, mappature, software e quant’altro, di aver adottato le misure adeguate secondo il regolamento europeo

In questo principio il legislatore europeo ribadisce la proattività del regolamento, in quanto viene dato al titolare del trattamento dei dati personali il compito di decidere in autonomia le modalità, le garanzie e i limiti del trattamento stesso, rispettando sempre la normativa e seguendo i criteri specifici indicati nel regolamento.

Come si può applicare?

In sostanza, possiamo dire che questo nuovo concetto comporta l’adozione di un nuovo approccio nella gestione della protezione dei dati da parte delle imprese: non più “misure minime” da rispettare, ma un vero e proprio cambio di prospettiva di gestione.

Sarà il titolare del trattamento, in base alla natura della sua attività, a dover progettare e mettere in atto le giuste misure giuridiche, organizzative e tecniche per la protezione dei dati personali, anche attraverso l’elaborazione di modelli organizzativi molto soggettivi. Egli è investito totalmente dalla responsabilità di dimostrare in modo positivo e proattivo che il trattamento dei dati è gestito adeguatamente e conformemente a ciò che dice il regolamento europeo.
Il titolare può dimostrare di aver rispettato in ogni sua forma la legge europea in materia di privacy anche avvalendosi dell’adesione ai codici di condotta o tramite certificazione (articoli 40 e 42).

Il principio di accountability porta le aziende a fare un vero e proprio salto di qualità nei sistemi di gestione dei dati: non più un approccio di formale adempimento alle norme, ma un approccio sostanziale, dove la tutela dei dati è messa al centro. Tutto questo è in perfetta coordinazione e coerenza con le misure di sicurezza, l’analisi del rischio, la valutazione di impatto privacy e i principi privacy by design e privacy by default.

Cosa cambia rispetto al Codice della Privacy

Il nostro Codice della Privacy non prevede il principio dell’accountability, ma sancisce un approccio di “misure minime” e una serie di adempimenti espressamente previsti, come ad esempio l’informativa, il consenso, la notificazione al Garante.
Il nuovo regolamento europeo lascia maggiore discrezionalità al titolare del trattamento nel decidere come attuare le sue misure di sicurezza adeguate e come adempiere a tutti i suoi obblighi. Come già ribadito sopra, il vero cambiamento sta nel modificare la visione e l’approccio alla gestione dei dati personali.



 

Vuoi saperne di più?

Vuoi ricevere maggiori informazioni?
Contattaci subito: siamo a tua completa disposizione!