accountability-GDPR

Accountability: cosa significa per il GDPR

20 Settembre 2022

Il concetto di accountability permea il Regolamento UE 679/2016 in tema di protezione dei dati personali, rispetto alla normativa precedente applicata (Direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995 e Codice Privacy ante riforma), contribuendo a rendere il titolare del trattamento la figura maggiormente coinvolta nel rapporto con l’interessato, in merito al trattamento dei suoi dati personali.

Ma qual è il significato di “Accountability”? Perché tale principio incombe proprio sulla figura del titolare del trattamento? E quali sono i vantaggi ed i rischi?

L’accountability per il GDPR

È bene specificare che il trattamento dei dati personali è legittimo solo nella misura in cui, chi lo attua, rispetti le norme e i principi previsti dal Regolamento UE. Si parla, dunque, del titolare del trattamento, ovverosia la persona fisica o giuridica, l’Autorità Pubblica, il servizio, o altro organismo che, singolarmente, o insieme ad altri, determinando le finalità e i mezzi del Trattamento, è tenuto ad una serie di adempimenti strettamente correlati proprio al concetto di accountability.

Il “principio di accountability” potrebbe essere tradotto, nella lingua italiana, con “principio di responsabilizzazione e di rendicontazione”. Difatti, tale termine richiama almeno due accezioni, distinte tra loro ma fondamentali allo stesso tempo, che ricomprendono gli adempimenti richiesti al Titolare: l’adempimento al dettato normativo nonché la capacità di dimostrare e comprovare la conformità al Regolamento UE 679/2016.

I principi applicabili

I principi applicabili, a cui il titolare è obbligato a conformarsi, sono specificati nell’art.5 del GDPR e possono essere così sintetizzati:

  • Liceità, correttezza e trasparenza: i dati sono trattati in modo lecito (e, conseguentemente, corretto e trasparente) solo se e nella misura in cui ricorre almeno una delle condizioni di liceità indicate nell’art. 6 del GDPR e 9, par. 2, del GDPR, per i dati particolari.
  • Limitazione delle finalità: i dati sono raccolti e successivamente trattati in modo che vi sia compatibilità con le finalità da perseguire, previamente stabilite.
  • Minimizzazione dei dati: i dati raccolti sono limitati a quanto necessario rispetto alle finalità perseguite dallo specifico trattamento.
  • Esattezza: i dati devono essere corretti e se necessario, aggiornati.
  • Limitazione della conservazione: i dati raccolti devono essere conservati solo per il periodo necessario al perseguimento delle finalità.
  • Integrità e riservatezza: i dati devono essere trattati in modo da garantire un’adeguata protezione dei dati personali da trattamenti illeciti o non autorizzati che possono causarne la perdita e la distruzione.

L’art. 5 termina con il comma 2 che recita: “il titolare del trattamento è competente per il rispetto dei principi sopra citati ed è in grado di comprovarlo secondo il principio di responsabilizzazione.” Da qui, è stata evidenziata l’importanza del concetto di accountability, definito anche come principio dei principi, sanciti dal GDPR.

Il concetto di accountability viene ulteriormente delineato dall’art. 24 del GDPR che richiede al titolare di mettere in atto misure tecniche ed organizzative adeguate a garantire ed essere in grado di dimostrare, che il trattamento sia attuato conformemente al Regolamento UE.

In particolare, l’art.24 del GDPR combina due esigenze: da una parte, vi è quella di individuare la responsabilità generale del titolare per qualsiasi trattamento di dati personali che quest’ultimo abbia effettuato direttamente o indirettamente (mediante l’affidamento a responsabili del trattamento). Dall’altra, la tutela dei diritti e delle libertà delle persone fisiche relativamente al trattamento dei dati personali richiede l’adozione di misure tecniche ed organizzative adeguate a garantire il rispetto dei principi e delle disposizioni del Regolamento. Tutto ciò – prevede l’art. 24 del GDPRtenendo conto della natura, dell’ambito di applicazione, del contesto e delle finalità del Trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche.

Si può ben comprendere come il Titolare del Trattamento sia tenuto a rispondere dei trattamenti effettuati e delle modalità che ha deciso di adottare per il perseguimento delle proprie finalità. A questo punto, potrebbe sorgere spontanea una domanda: quali sono gli obblighi del titolare?

L’accountability del titolare

Si parte da un presupposto fondamentale: la nuova disciplina in tema di tutela e protezione di dati personali non prevede più le misure minime da adottare necessariamente, come quelle elencate nell’allegato B del Codice Privacy, abrogato dall’art. 27 del Decreto Legislativo 101/2018.

Pertanto, viene lasciata maggiore discrezionalità al titolare nel decidere quali siano le misure necessarie e, di volta in volta, adeguate alla tipologia di trattamento attuato. Il titolare del trattamento si trova, dunque, a non dover più attuare obbligatoriamente specifiche misure tecniche ed organizzative imposte dal legislatore, avendo la possibilità di decidere e scegliere i mezzi e le misure di sicurezza che ritiene più opportuni per raggiungere le finalità prestabilite. Se da una parte vi è il vantaggio di agire in autonomia stabilendo le finalità ed i mezzi del trattamento nonché le misure di sicurezza da adottare senza alcuna imposizione normativa, dall’altro si corre il rischio di commettere scelte errate che compromettano la liceità del trattamento e conseguentemente, di incorrere in sanzioni.  È evidente, dunque, che il principio di accountability coinvolge, inevitabilmente, anche altri aspetti quali l’affidabilità e la competenza aziendale nella gestione dei dati personali.

Quale dovrebbe essere, allora, l’approccio pratico del titolare al trattamento dei dati personali?

Indichiamo, di seguito, alcuni utili step:.

  1. Mappare i trattamenti di dati personali effettuati nonché le categorie di dati personali trattati all’interno dell’organizzazione, individuando solamente quelli necessari rispetto alle finalità perseguite dall’organizzazione, in applicazione dei principi poc’anzi citati, indicati dall’art. 5 del GDPR. A titolo esemplificativo, un dentista che sottopone ai propri clienti un modulo di anamnesi, volto alla creazione della “scheda paziente”, chiedendo stato civile e occupazione, non ha valutato correttamente la tipologia di dati trattati. Si comprende che tali dati personali non siano necessari alla prestazione di cure mediche.
  2. Definire la data retention per le singole tipologie di dati oggetto del trattamento in essere, conformemente al principio di limitazione della conservazione dei dati personali e agli obblighi di legge. Si rammentano casi di archivi contenenti fatture in entrata ed uscita risalenti a 30 anni fa.
  3. Mappare le misure tecniche ed organizzative attuate e definire quelle da adottarsi, dovendo essere adeguate ed efficaci in relazione alla tipologia di trattamento da attuare. Un e-commerce privo di misure di sicurezza in ordine ai dati relativi ai mezzi di pagamento utilizzati dagli utenti risulterà vulnerabile e facilmente attaccabile da malintenzionati.
  4. Definire un organigramma privacy aziendale individuando ruoli e conseguentemente le responsabilità dei soggetti interni all’organizzazione, al fine di contribuire all’accountability del titolare del trattamento.
  5. Fornire informazioni, comunicazioni e modalità trasparenti per l’esercizio dei diritti dell’interessato. Il titolare, ad esempio, si preoccuperà di fornire all’interessato tutte le informazioni in merito alla raccolta dei dati personali ottenuti o meno presso l’interessato, mediante il rilascio di precipue informative ex artt. 13 e 14 del GDPR

Il percorso di conformità ai principi del Regolamento, in particolare al principio di accountability non è di facile costruzione. Affidarsi, infatti, a consulenti può essere di supporto in tale attività, oltreché valutare la nomina di un Responsabile per la Protezione dei dati (DPO) anche laddove non sussista l’obbligatorietà prevista dall’art. 37 del Regolamento. Difatti, il DPO è la figura di maggior supporto di cui un titolare possa servirsi, considerate le sue qualità e competenze professionali e la sua conoscenza specialistica della normativa e delle prassi in materia di protezione di dati personali.

 

Per saperne di più: DPO: QUANDO È OBBLIGATORIO (mondoprivacy.it).

Roberta Barrella
About

Laureata in Giurisprudenza presso l’Università degli studi di Salerno, con tesi in Diritto Civile dal titolo “La privacy del minore nel mondo virtuale.

Ti serve una consulenza privacy?

Il nostro team sarà felice di trovare la soluzione perfetta per te!

Contattaci