Home>News>Approfondimenti>Il principio di accountability nel GDPR

Il principio di accountability nel GDPR

Avv. Davide Cautela – Consulente Privacy.it

Pubblicato in data 20-01-2017

L’entrata in vigore del nuovo regolamento europeo in materia di protezione dei dati personali, di fatto, ha modificato radicalmente l’approccio adottato finora per la regolamentazione della materia, introducendo in modo espresso nel sistema legislativo di settore principi prima estranei al nostro ordinamento (si pensi al concetto di privacy by design, privacy by default ad esempio) ed attribuendo, tra questi, un ruolo di centralità a quello così detto di “responsabilizzazione” del titolare e del responsabile del trattamento.

Il termine in lingua inglese utilizzato dal legislatore europeo per esprimere il concetto di cui si parla è quello di “accountability”, che trova in italiano la traduzione più adatta in “responsabilizzazione”, ma che necessita di un ulteriore sforzo interpretativo perchè ne venga colto per intero il più ampio significato.

In realtà già nell’ambito della precedente normativa sulla privacy, il tema della responsabilizzazione era presente, seppure in nuce, ma solo oggi ha trovato una espressa previsione sul piano del diritto positivo. Ma allora, cosa ha voluto intendere il legislatore europeo quando ha introdotto esplicitamente il concetto di responsabilizzazione dei titolari e responsabili delo trattamento? E in che modo detto principio ha trovato posto all’interno del regolamento 697/2016 Ue?

L’esigenza soddisfatta dall’introduzione del principio di responsabilizzazione è stata quella di far in modo che i soggetti che determinano finalità e mezzi del trattamento, o che trattano i dati per loro conto, dunque il titolare ed il responsabile del trattamento, fossero spinti a porre in essere tutte le misure necessarie, intese in senso latissimo, alla protezione effettiva del dato personale oggetto dei trattamenti.

E questa esigenza si è fatta palese man mano che si è potuto verificare sul campo che l’impianto normativo in vigore, con l’imposizione di predefinite misure di sicurezza, non si era mostrato sufficiente a garantire una reale e sostanziale difesa del diritto degli interessati alla protezione della propria sfera di riservatezza.

A ben vedere le legislazioni precedenti prediligevano una regolamentazione volta a determinare i rimedi alle possibili violazioni e conseguenti danni, una forte connotazione reattiva contro una insufficiente attenzione ad obiettivi di protezione preventiva effettiva.

Colta l’inadeguatezza di questo approccio, già da diversi anni, e come detto in diverse sedi in cui de iure condendo si sviluppano le nuove regolamentazioni internazionali della materia, si è dato vita ad una rivoluzione dell’impostazione della normativa sulla privacy, necessitata anche dal continuo evolvere e mutare delle conoscenze tecniche ed informatiche alla base dei nuovi strumenti o metodi con cui si operano trattamenti di dati (si pensi ad es. al cloud computing, all’uso dei social network, alle tecniche automatizzate di analisi dei dati, all’Internet of Things, etc).

Ciò che viene richiesto ai titolari ed ai responsabili, adesso, è un approccio proattivo e non più reattivo, con focus su obblighi e comportamenti che prevengano in modo effettivo il possibile evento di danno, configurandosi sulle specificità dei diversi trattamenti cui si riferiscono.

Tutto ciò lo aveva già chiarito esplicitamente un parere (Opinion 3/2010 – WP art.29) espresso dal Gruppo di Lavoro Articolo 29, significativamente intitolato “Opinion 3/2010 on the principle of accountability” laddovè si è, tra l’altro, raccomandato che il titolare del trattamento dei dati debba essere in grado di dimostrare di avere adottato un processo complessivo di misure giuridiche, organizzative, tecniche, per la protezione dei dati personali, anche attraverso l’elaborazione di specifici modelli organizzativi e che debba dimostrare in modo positivo e proattivo che i trattamenti di dati effettuati sono adeguati e conformi al regolamento europeo in materia di privacy.

A sua volta, il parere del 2010 del WP29, aveva visto una precedente cristallizzazione del principio in altro documento promanato da organizzazioni internazionali, pure questo non di natura normativa, come il primo, ma di certo valore di indirizzo e di interpretazione delle legislazioni successive: le linee guida Privacy stilate dall’Ocse nel 2013.

L’esplicitazione di questa nuovo modo di intendere la difesa dei dati personali e la legittimità dei trattamenti ha spinto alla individuazione positiva di regole che potessero garantire la effettiva realizzazione del principio di responsabilizzazione e la sua pratica applicazione ([…] a data controller should […] have in place a privacy management programme […] be prepared to demonstrate its privacy management programme as appropriate […])

Lo sviluppo che queste considerazioni hanno subito ha poi generato la previsione specificamente contenuta nell’art. 24 del Regolamento 2016/679, rubricato “Responsabilità del trattamento” in cui, per l’appunto, è previsto che, il titolare del trattamento metta in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento sia effettuato conformemente al presente regolamento, tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche.

Una norma dal contenuto ampio che in sé contiene: i) l’obbligo di mettere in atto misure che rendano ogni trattamento effettuato come conforme (compliant) alle previsioni del Regolamento; ii) l’obbligo che le misure adottate forniscano la garanzia di detta conformità; iii) l’obbligo di fondare la scelta delle misure adottate su preventive analisi dei rischi; iiii) l’obbligo che la conformità così garantita sia anche facilmente dimostrabile (alle D.P.A. competenti, ad eventuali altri organi ispettivi o giurisdizionali, o anche agli interessati al dato), di fatto individuando un vero e proprio obbligho di rendicontazione.

A ben vedere, quindi, la responsabilità del titolare di un trattamento (o dei responsabili) può discendere da comportamenti adottati (o non adottati) ancor prima che il trattamento specifico venga poi praticamente realizzato. Per meglio dire, d’ora in avanti potranno venire ad esistenza effetti giuridicamente rilevanti in conseguenza delle scelte operate dai titolari al momento della “pianificazione” dei trattamenti, e non solo al momento dell’effettivo svolgimento delle operazioni in cui il trattamento si sostanzierà.

Ciò che verrà adottata come misura organizzativa o di sicurezza dipenderà esclusivamente dalla scelta operata dal titolare del trattamento o dal responsabile, sulla base di una valutazione (come detto preventiva) che abbia avuto a parametro le caratteristiche del trattamento effettuato: la sua natura, e quella dei tati cui si riferisce, il contesto, la finalità, i metodi e gli strumenti di trattamento, etc.

Non più la previsione di specifiche misure di sicurezza (si pensi a quelle che venivano identificate come misure minime, utili a scongiurare, se applicate, l’eventuale sanzione penale) che deresponabilizzi nei confronti dell’eventuale inefficacia e/o insufficienza delle stesse rispetto a casi specifici (sussistendo il rispetto formale della disposizione di legge), ma piuttosto l’individuazione di uno specifico fine posto dal sistema normativo: la garanzia della conformità effettiva dei trattamenti alle norme di regolamento e, dunque, la garanzia della tutela e protezione reale dei dati personali, da raggiungere attraverso misure (giuridiche, organizzative, di sicurezza, etc) la cui individuazione e adattamento al caso specifico sarà responsabilità del titolare o responsabile, nell’ambito di un vero programma di protezione del dato che si sostanzi nell’implementazione di processi non occasionali ma sistematici ed organizzati finalizzati al cd. privacy management .

 

 

2017-05-23T16:09:40+00:00 20 gennaio 2017|Approfondimenti|