Il Regolamento 679/16 pone con forza l’accento sulla “responsabilizzazione” (accountability nell’accezione inglese) di titolari e responsabili – ossia, sull’adozione di comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione del regolamento (si vedano artt. 23-25, in particolare, e l’intero Capo IV del regolamento). Si tratta di una grande novità per la protezione dei dati in quanto viene affidato ai titolari il compito di decidere autonomamente le modalità, le garanzie e i limiti del trattamento dei dati personali – nel rispetto delle disposizioni normative e alla luce di alcuni criteri specifici indicati nel regolamento.
Il primo fra tali criteri è sintetizzato dall’espressione inglese “data protection by default and by design” (si veda art. 25), ossia dalla necessità di configurare il trattamento prevedendo fin dall’inizio le garanzie indispensabili “al fine di soddisfare i requisiti” del regolamento e tutelare i diritti degli interessati – tenendo conto del contesto complessivo ove il trattamento si colloca e dei rischi per i diritti e le libertà degli interessati. Tutto questo deve avvenire a monte, prima di procedere al trattamento dei dati vero e proprio (“sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso”, secondo quanto afferma l’art. 25 del Regolamento) e richiede, pertanto, un’analisi preventiva e un impegno applicativo da parte dei titolari che devono sostanziarsi in una serie di attività specifiche e dimostrabili.
E proprio la parola responsabilità costituisce il concetto cardine anche alla base del nuovo Regolamento UE, all’interno del quale, l’ “Accountability” rappresenta uno dei pilastri su cui si fonda tutto l’impianto normativo del GDPR.
Cosa significa innanzitutto Accountability?
Significa “responsabilizzazione” anche se il termine “accountability” non è facilmente traducibile e tale traduzione sia la più frequente ma non da tutti condivisa (alcuni parlano anche proposto traduzioni quali: “responsabilità rafforzata”, “assicurazione”, “affidabilità”, “attendibilità” “rendicontazione”).
In altri termini, il principio in commento impone al Titolare del trattamento l’adozione di comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione del Regolamento 679/2016.
Si tratta di una grande novità per la protezione dei dati in quanto viene affidato ai Titolari del trattamento il compito di decidere autonomamente le modalità, le garanzie e i limiti del trattamento dei dati personali – nel rispetto delle disposizioni normative e alla luce di alcuni criteri specifici indicati nel Regolamento GDPR.
Al fine di rispettare tali prescrizioni, le aziende sono tenute ad attuare misure tecniche ed organizzative adeguate e spetta alle organizzazioni stesse dimostrare non solo gli interventi messi in atto ma anche la loro efficacia.
Questo significa che l’onere di dimostrare la conformità alla legge spetta in primo luogo alle organizzazioni e non alle autorità che operano nell’ambito della protezione dei dati.
Il principio di accountability, oltre a permeare tutto l’impianto del GDRP, trova la sua compiuta definizione negli articoli 5 e 25. L’articolo 5, in particolare, stabilisce la responsabilità del titolare del trattamento quale garante del fatto che il trattamento sia effettuato in modo conforme allo stesso regolamento. Modalità, garanzie e limiti del trattamento dei dati personali possono essere autonomamente stabilite dal titolare del trattamento.
All’articolo 25 si parla, invece, della valutazione di conformità che il titolare stesso deve compiere, tenendo conto di alcuni aspetti, tra cui: Tipologia di dati personali trattati; Rischi derivanti dal trattamento; Adeguamento delle misure sia tecniche che organizzative affinché, per ogni specifica finalità del trattamento, siano trattati solo i dati personali necessari; Tipologia di trattamento effettuato.
L’intervento delle autorità di controllo si svolgerà quindi successivamente alle determinazioni assunte autonomamente dal titolare.
Peraltro, alle autorità di controllo, e in particolare al “Comitato europeo della protezione dei dati” spetterà un ruolo fondamentale al fine di garantire uniformità di approccio e fornire ausili interpretativi e analitici: il Comitato è chiamato, infatti, a produrre linee-guida e altri documenti di indirizzo su queste e altre tematiche connesse, anche per garantire quegli adattamenti che si renderanno necessari alla luce dello sviluppo delle tecnologie e dei sistemi di trattamento dati.
