Mondo-Privacy-blog-GDPR-accountabilty

Articolo ospite redatto dall’Avvocato Valentina Casamenti di Roma

Il principio dell’accountability rappresenta uno dei pilastri su cui si fonda l’impianto normativo del Regolamento Europeo 2016/679 anche noto come GDPR.

Il Regolamento, che ha il gravoso compito di fissare i principi e le norme fondamentali necessarie ad armonizzare il diritto europeo in materia di privacy, è strutturato in modo da lasciare ampi “spazi di libertà“ ma anche di “sicurezza e giustizia” (considerando 2, GDPR) per ogni soggetto coinvolto: titolare, responsabile, addetto, interessato.

In ossequio alle garanzie del rispetto dei diritti e delle libertà fondamentali dell’individuo, il GDPR si fonda su pochi ma precisi principi, primo fra tutti quello dell’accountability.

Cosa significa accountability?

Responsabilizzare.

Responsabilizzare il titolare di un trattamento dati che (così facendo) non è più mero esecutore di un elenco di misure imposte ad una norma, ma diviene responsabile delle misure operative e tecniche che riterrà opportune, efficaci e dunque adeguate per salvaguardare i dati che tratta.

L’obiettivo di ogni titolare, responsabile e addetto al trattamento dei dati, sarà quello di essere accountable con il regolamento. Questo significa sostanzialmente non solo divenire responsabile delle scelte di mezzi, operazioni, procedure, finalità, ecc. in materia di trattamento dei dati, ma anche essere in grado di “dare conto” delle valutazioni svolte alla base delle scelte poi operate.

DAL PRINCIPIO ALLE DISPOSIZIONI OPERATIVE: ART.32 GDPR

Quello dell’accountability che -come ogni principio- è per sua natura generale e astratto, non resta tale ma si concretizza in più di una disposizione del Reg. UE 2016/679, dando vita ad un impianto normativo, che cambia completamente il punto di vista del “sistema privacy”.

Un esempio è l’art.32, primo della sezione dedicata alla sicurezza dei dati, che recita:

“tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio …”.

Ciò comporterà che ogni soggetto dovrà autonomamente scegliere come ed in che misura mettere in sicurezza i trattamenti:

  • quali antivirus usare,
  • quali sistemi di salvataggio dei dati prevedere,
  • ecc.

Fino addirittura a poter prevedere e standardizzare procedure sulle modalità di tenuta delle scrivanie degli addetti ai trattamenti per mantenere la sicurezza dei dati cartacei.

Tutto questo nell’ottica moderna, introdotta dal legislatore, europeo che parte dall’idea che nessuno, meglio del titolare, possa individuare sistemi di protezione e metodiche adeguati a garantire la sicurezza dei dati che non rallentino o impediscano le normali e quotidiane attività.

IL GARANTE, UN REFERENTE DISPONIBILE DELL’ACCOUNTABILITY

In questo delicato percorso -in cui ad ogni soggetto, coinvolto da trattamenti, viene richiesto di comprendere e fare proprie le istanze e le finalità normativamente previste per la tutela dei dati- il Garante mantiene il suo ruolo primario e centrale di controllo ma anche di guida efficace e presente, quasi un educatore nel difficile passaggio alla responsabilizzazione.

Oltre a poter contare su un sito internet appositamente costruito in maniera semplice e fruibile perché chiunque possa trovare indicazioni e risposte ai dubbi, il Garante Privacy:

  1. Programma audizioni
  2. Accoglie richieste di ascolto
  3. Fornisce e pubblica provvedimenti dispositivi ed interpretativi e semplici guide (con tanto di disegni e schemi)

Il tutto finalizzato all’aiuto, alla divulgazione ed alla conoscenza della normativa in materia di privacy.

La ragione, coerente con il concetto di accountability, è che l’educazione e la consapevolezza dei diritti rappresentano più efficaci e validi strumenti di adeguamento. Molto più della minaccia delle sanzioni che, ora molto più pesanti di prima, rappresentano invece il mezzo correttivo residuale utilizzato di fronte all’evidenza di una grave assenza di rispetto di qualsiasi principio normativo.

Seguendo, dunque, le modalità scelte dal Garante, converrà iniziare il percorso di adeguamento, partendo da un’efficace formazione per poi, se necessario, affidarsi a preparati professionisti capaci di  accompagnare il soggetto verso l’individuazione delle misure adeguate a garantire gli “spazi di libertà e sicurezza” dei trattamenti.

Parafrasando un altro principio fissato dal GDPR, diverrà indispensabile progettare, da capo, il sistema privacy di ogni attività (Privacy by design).

 

[Fonti: www.garanteprivacy.it; Regolamento UE 2016/679 del Parlamento europeo e del Consiglio pubblicato sulla Gazzetta Ufficiale dell’Unione Europea, L 119, 4 maggio 2016; “il Regolamento Privacy europeo. Commentario alla nuova disciplina sulla protezione dei dati personali” di Luca Bolognini e altri, Giuffrè ed.]

Ti serve una consulenza privacy?

Il nostro team sarà felice di trovare la soluzione perfetta per te!