Il testo del nuovo Regolamento in materia di protezione dei dati personali contiene dei riferimenti espliciti al concetto di “accountability” (responsabilizzazione nella traduzione italiana), concetto non espressamente contenuto nella Direttiva 95/46/CE, ma parzialmente anticipato dal Gruppo di Lavoro ex art. 29 nel parere n. 3/2010.
In primis, l’art. 5 del RGDP individua nel Titolare il soggetto competente a garantire il rispetto dei principi posti dalla nuova disciplina in tema di trattamento dei dati personali, quali quelli di liceità, correttezza e trasparenza, limitazione delle finalità, minimizzazione, esattezza, limitazione della conservazione, integrità e riservatezza. Il co. II dell’art. 5 stabilisce poi che, oltre a dover garantire il rispetto dei suddetti principi, il Titolare deve essere in grado di “comprovarlo”: ciò costituisce l’essenza del principio di “accountability”, in quanto tale soggetto ha l’onere di porre in essere una serie di adempimenti (ad esempio, la mappatura delle operazioni di trattamento mediante la creazione di un apposito registro), che rendano i principi posti dalla nuova disciplina dati verificabili nei fatti e non più soltanto obblighi giuridici esistenti sulla carta.
Il concetto di “accountability” è ulteriormente delineato dall’art. 24 del Regolamento, il quale prevede che il Titolare del trattamento debba mettere in atto (nonché riesaminare ed aggiornare) adeguate misure tecniche ed organizzative, per garantire ed essere in grado di dimostrare che le operazioni di trattamento vengano effettuate in conformità alla nuova disciplina. Le misure da adottare vanno valutate di volta in volta, tenendo in considerazione una serie di elementi tra cui la natura, l’ambito di applicazione, il contesto e le finalità del trattamento, nonché i rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche.
Ciò in quanto la nuova disciplina non prevede più una serie di “misure minime” che è necessario adottare, quali quelle contenute nell’Allegato B al Codice Privacy, ma sarà necessario individuare di volta in volta quelle maggiormente adeguate, alla luce degli elementi sopra indicati.
In sostanza, l’introduzione del concetto di “accountability” determina l’onere di adottare un nuovo approccio nella gestione della protezione dei dati da parte delle singole organizzazioni. Da un lato, il RGDP lascia maggiore discrezionalità al Titolare del trattamento nel decidere attraverso quali modalità tutelare i dati, abbandonando ad esempio il concetto di “misure minime” di sicurezza. D’altro lato, però, tale maggiore libertà è accompagnata dall’onere in capo a tale soggetto di dimostrare le motivazioni che hanno portato all’adozione di una determinata decisione, oltre che di documentare le scelte effettuate.
Il cambio di prospettiva di cui sopra potrebbe produrre effetti anche rispetto agli strumenti utilizzati all’interno della singola organizzazione per garantire il rispetto dei principi posti dalla nuova disciplina. Ad esempio, il progressivo processo di digitalizzazione potrebbe coinvolgere gli aspetti legati alla gestione degli adempimenti che è necessario porre in essere rispetto al tema della protezione dei dati personali, sia nell’ottica dell’informatizzazione dei processi sottostanti che di documentabilità delle scelte effettuate.
In effetti l’accountability è una bella rivoluzione. La VERA novità del GDPR.
Il mio timore è che le aziende leggano la scomparsa delle misure minime come la scomparsa della necessità degli adempimenti. Se già oggi di fronte ad una lista precisa di cose da fare l’atteggiamento di molte PMI era “io non faccio niente, vediamo se mi scovano”, immaginiamoci quando alla domanda dell’imprenditore “ma col GDPR cosa è obbligatorio?” qualche incauto rispondesse “niente di definito”. La speranza invece, come consulente, è che sia la fine della “privacy automatica” e della “fotocopia del DPS”, che tanti danni hanno fatto sul mercato: l’accountability dovrebbe costringere le aziende a valutare caso per caso gli adempimenti, quindi presumibilmente avranno bisogno di consulenza… e noi siamo qui apposta!