Blog

Il principio di Accountability introdotto dal GDPR

lunedì, 19 Novembre 2018

Il principio dell’accountability rappresenta uno dei criteri guida del nuovo Regolamento Europeo 2016/679 anche noto come GDPR, entrato in vigore il 25 maggio 2016.
Il fulcro della normativa è la protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati.

Cosa significa Accountability?

In italiano il termine è stato tradotto in “responsabilizzazione” ma sembra più adeguato far riferimento alla traduzione anglosassone: “dover rendere conto del proprio operato”.
Infatti, si tratta di un diverso modo di guardare al trattamento dei dati personali e, di conseguenza, delle responsabilità gravanti sul soggetto (Titolare del trattamento) che di questo trattamento è gestore, tutore, garante.

“Da un grande potere derivano grandi responsabilità”
(Stan Lee – Amazing Fantasy 15)

In base a tale principio, il titolare del trattamento, cioè il soggetto che acquisisce i dati degli utenti deve:

  1. predisporre misure tecniche ed organizzative idonee a garantire che il trattamento di tali dati sia conforme al regolamento;
  2. attenersi al rispetto dei principi inerenti al trattamento dei dati personali:
    • trasparenza,
    • limitazione delle finalità e della conservazione,
    • correttezza,
    • riservatezza,
    • integrità.

Si tratta di una impostazione normativa diversa da quella cui siamo abituati: non è il legislatore che ti dice cosa fare, ma SEI TU a mettere in atto le misure che risultano necessarie (es. quali antivirus usare, quali sistemi dei salvataggio dei dati prevedere) per evitare che i dati personali vadano perduti, anche involontariamente, e siano gestiti correttamente.

Il GDPR introduce un sistema basato sul rischio

Le imprese e i professionisti sono chiamati ad analizzare le attività che comportano trattamento e circolazione di dati personali e, sulla base di tale valutazione, identificarne i possibili rischi.
Inoltre, devono essere predisposte le misure di sicurezza necessarie per porre in essere una reale protezione dei dati ed effettuare un trattamento lecito, sicuro e trasparente.

Ogni volta che accade qualcosa di brutto è sempre così: chi è il responsabile?
(Jerry Seinfeld)

Cosa cambia rispetto al Codice Privacy

1. Nel Codice Privacy sono previste misure minime di sicurezza (utili a scongiurare, se applicate, l’eventuale sanzione penale).
Invece nel GDPR i titolari del trattamento sono chiamati in prima persona, con ampio margine discrezionale, a decidere quale sia il modo migliore per applicare la disciplina del Regolamento nell’ambito dello specifico trattamento effettuato.

2. Il Codice Privacy interveniva a danno avvenuto cercando di porre rimedio a possibili violazioni e conseguenti danni (funzione reattiva). Nel GDPR si cerca di giocare in anticipo prospettando strumenti adeguati a far fronte a rischi futuri anche solo probabili (funzione proattiva).

Quindi, gli “accountables” devono essere in grado di stabilire le modalità, le garanzie e i limiti, sulla base della propria attività e della propria professionalità, facendosi carico dei rischi conseguenti a valutazioni erronee e a eventuali violazioni della normativa di riferimento.

Riepiloghiamo: quali sono gli obblighi del titolare del trattamento?

  • progettazione dei trattamenti sin dall’inizio in modo da limitare il più possibile i rischi attraverso una preventiva analisi dei rischi;
  • formazione del personale;
  • designazione dei responsabili;
  • nomina del DPO qualora risulti necessario;
  • trasparenza ed informazione agli interessati;
  • notifica delle eventuali violazioni dei dati alle autorità di controllo entro le 72h, se da tale violazione derivino rischi per i diritti e le libertà degli interessati;
  • tutele per i trasferimenti dei dati all’estero;
  • rendicontazione tramite documentazione delle attività di trattamento (registri) in cui annottare ogni passaggio in relazione ai dati ricevuti e archiviati.

Leggi anche:

gdpr
gdpr