Il GDPR ha contribuito a definire, in una maniera più consona e adeguata agli attuali scenari di mercato, norme e principi che regolano il trattamento dei dati personali.
Il nuovo Regolamento Europeo non può essere inteso come un semplice aggiornamento delle normative già presenti. Sebbene la norma sia stata scritta tenendo conto di alcune leggi preesistenti, come ad esempio il codice della privacy, su alcuni punti sono state apportate rilevanti modifiche.
Una delle novità del GPPR è l’introduzione del principio di accountability. Scopriamo cos’è e in che modo incide su compiti e comportamenti delle aziende che, a vario titolo, raccolgono e trattano i dati personali degli utenti.
Indice dei contenuti
Cos’è il principio di privacy accountability
La traduzione letterale del termine accountability è “responsabilità”. Il principio di accountability è, dunque, l’equivalente del principio di responsabilità. Nasce allo scopo di garantire il rispetto dei vari principi legati alla protezione dei dati.
Si tratta di un processo che richiede, in primis, un forte cambiamento culturale, volto a promuovere comportamenti e politiche trasparenti e corrette sul fronte della privacy.
Cosa devono fare le aziende
Secondo quanto stabilito dal nuovo Regolamento Europeo, le aziende sono tenute ad attuare misure tecniche ed organizzative adeguate e spetta alle organizzazioni stesse dimostrare non solo gli interventi messi in atto ma anche la loro efficacia.
Questo significa che l’onere di dimostrare la conformità alla legge spetta in primo luogo alle organizzazioni e non alle autorità che operano nell’ambito della protezione dei dati.
Quali sono i principi da rispettare
Nel GDPR sono elencati, oltre a quello di responsabilità, sei principi che ogni organizzazione deve rispettare. Essi sono:
- Liceità, correttezza e trasparenza;
- Accuratezza;
- Integrità e riservatezza;
- Minimizzazione dei dati;
- Limitazione della finalità;
- Limitazione della conservazione.
Uno dei modi migliori per assicurarsi che tali principi siano rispettati è verificare che la struttura di governance della privacy interna sia impostata correttamente e sia completa in ogni punto.
In quali articoli del GDPR si parla del principio di accountability
Si parla del principio di accountability nel GDPR agli articoli 5 e 25. L’articolo 5 stabilisce la responsabilità del titolare del trattamento quale garante del fatto che il trattamento sia effettuato in modo conforme allo stesso regolamento. Modalità, garanzie e limiti del trattamento dei dati personali possono essere autonomamente stabilite dal titolare del trattamento.
All’articolo 25 si parla, invece, della valutazione di conformità che il titolare stesso deve compiere, tenendo conto di alcuni aspetti:
- Tipologia di dati personali trattati;
- Rischi derivanti dal trattamento;
- Adeguamento delle misure sia tecniche che organizzative affinché, per ogni specifica finalità del trattamento, siano trattati solo i dati personali necessari;
- Tipologia di trattamento effettuato.
Il fatto che l’obbligo di dimostrazione del rispetto dei sopra menzionati principi incomba sul titolare fa sì che spetti sempre al titolare acquisire le prove che confermino la bontà del suo operato.
Come attuare il principio di responsabilizzazione (GDPR accountability)
Uno spunto importante, in tal senso, è offerto proprio dall’Articolo 25, laddove emergono due importanti principi:
- Privacy by design;
- Privacy by default.
Secondo il principio di privacy by design, sin dalla fase di progettazione di un prodotto o di un servizio è necessario tutelare la privacy degli utenti, prevedendo adeguate garanzie a tutela dei diritti dei soggetti interessati.
Il principio di privacy by default sancisce, invece, l’obbligo per le organizzazioni di trattare solo i dati personali necessari e sufficienti per ogni specifica finalità del trattamento e solo per l’arco di tempo necessario per tale scopo.
Altri spunti relativi all’attuazione del principio di responsabilizzazione sono riscontrabili in ulteriori articoli del GDPR accountability, per l’attuazione in cinque articoli:
- Art. 30 (istituzione dei registri delle attività di trattamento);
- Art. 34 (principio di data breach, ossia obbligo di notificazione di una violazione dei dati personali);
- Art. 37 (istituzione del Data Protection Officer, Responsabile della protezione dei dati);
- Art. 40 (adozione di Codici di condotta);
- Art. 42 (istituzione ed adozione di sistemi di certificazione).
