Il principio dell’accountability rappresenta uno dei pilastri su cui si fonda la normativa del Regolamento Europeo 2016/679, ovvero il GDPR.
Questo termine in realtà non riguarda solo l’ambito GDPR, ma viene utilizzato anche nel settore finanziario, nella revisione dei conti e in altri ambiti. Questo termine può avere diverse declinazioni e nella maggior parte delle altre nazionalità europee, a causa delle differenze dei sistemi giuridici, il termine accountability non può essere facilmente definito.
In italiano questo termine è stato tradotto come “responsabilizzazione”, ma in realtà il discorso è più amplio ed esteso, poiché va a toccare diversi aspetti quali l’affidabilità e la competenza di un’azienda nel gestire i dati personali trattati.
Abbiamo fatto un breve accenno al termine accountability nel nostro precedente articolo dal titolo “GDPR: Cosa è cambiato dopo il 25 maggio 2018“, andiamo ora ad approfondire meglio l’argomento.
Se sei il titolare della tua azienda questo articolo può esserti molto utile per capire meglio alcune dinamiche messe in atto dal Regolamento (UE) 2016/679.
Principio di accountability: cosa significa?
Il principio di accountability prevede che i titolari e i responsabili del trattamento possano mettere in atto una serie di misure tecniche e organizzative in autonomia, facendo le valutazioni opportune, al fine di salvaguardare i dati personali trattati nella propria azienda.
E’ possibile approfondire meglio l’argomento consultando gli articoli 23-25 del Regolamento Generale sulla Protezione dei Dati.
Fonte: Garante della Privacy: approccio basato sul rischio e misure di accountability
I titolari sono responsabili di una serie di adempimenti, in merito alle modalità alle garanzie e ai limiti che il trattamento dati pone in essere, questo avviene attraverso due elementi:
Data protection by default and by design: questo termine inglese indica che il trattamento deve essere configurato sin dall’inizio, prima di procedere al trattamento dati vero e proprio, prevedendo le garanzie indispensabili che soddisfino tutti i requisiti del regolamento e tutelino i diritti degli interessati.
Per far questo il titolare del trattamento deve tener conto del contesto dove viene effettuato il trattamento e dei rischi legati ai diritti e alle libertà degli interessati
Deve essere quindi svolta un’analisi preventiva e un impegno applicativo da parte dei titolari che devono sostanziarsi in una serie di attività specifiche e dimostrabili descritte nell’articolo 25.
Art.25 e 30 del Regolamento Generale sulla Protezione dei Dati
Analisi del rischio
Per rischio si intende, secondo il Garante della Privacy
Uno scenario descrittivo di un evento e delle relative conseguenze che sono stimate in termini di gravità e probabilità.
Fonte della definizione: Garante della Privacy: Individuazione e gestione del rischio.
Dovrà essere svolta dal titolare del trattamento un’analisi del rischio preliminare, che dovrà prendere in esame rischi evidenti o evidenziabili e le misure tecniche, organizzative e di sicurezza che si riterrà opportuno adottare.
Da questo quadro descrittivo emerge chiaramente che i titolari del trattamento dei dati avranno una serie di compiti e responsabilità molto importanti e se da un lato può essere definito come un impegno non da poco, dall’altro possiamo dire che l’Autorità Garante ha voluto dare forte importanza alla figura dei titolari, responsabilizzandoli al fine di preservare i dati degli interessati della propria nella maniera più opportuna.
Accountability: adempimenti da effettuare
Con l’avvento del GDPR, ci sono stati una serie di adempimenti da applicare. Andremo qui sotto a schematizzare i punti più importanti mettendo in evidenza cosa il principio di accountability ha cambiato rispetto alla normativa precedente (DLGS 196/2003).
Tenere un Registro dei trattamenti
Tutti i titolari e i responsabili del trattamento all’interno di un’azienda, devono tenere un registro dei trattamenti.
Il documento contiene le principali informazioni relative ai trattamenti svolti dal titolare o dal responsabile del trattamento, se nominato (la tipologia delle informazioni inserite varia da Titolare a Responsabile, come si può osservare all’articolo 30).
Questo obbligo riguarda le aziende con più di 250 dipendenti. Tuttavia, non trattandosi di un adempimento formale ma di una corretta modalità di gestione dei dati personali trattati, il Garante della Privacy invita anche le aziende con personale inferiore al limite indicato a munirsi di tale strumento.
Per questo tutti i titolari di trattamento e i responsabili, anche se le loro aziende non superano il limite di personale indicato, dovrebbero provvedere a dotarsi di tale strumento e a raccogliere tutti i trattamenti svolti e le caratteristiche degli stessi. L’articolo 30 del Regolamento Europeo indica le informazioni che il Registro deve contenere ma il Titolare potrà, se lo riterrà opportuno, aggiungere ulteriori informazioni nei casi in cui un trattamento arrechi un rischio elevato per i diritti e le libertà delle persone interessate (in questi casi il Titolare sarà obbligato a svolgere una valutazione di impatto).
Fonti:
Art.30 del Regolamento Generale sulla Protezione dei Dati
Garante della Privacy: definizione di valutazione di impatto
Adozione di misure di sicurezza adeguate
Le misure adottate devono “garantire un livello di sicurezza adeguato al rischio del trattamento” (art. 32, paragrafo 1). In sintesi, ciò che cambia con il principio di Accountability è che la lista delle misure presenti nell’art.32 del Regolamento Europeo è una lista aperta e non potranno più sussistere obblighi generalizzati per adottare misura” minime” di sicurezza: questa valutazione dovrà essere fatta dal titolare o dal responsabile del trattamento dati in relazione ai rischi individuati.
Questo è un altro fattore molto importante in merito alla responsabilizzazione di titolari e responsabili in quanto sarà loro compito mettere in atto le misure di sicurezza necessarie affinché tutti i dati siano protetti in maniera adeguata.
Art.32 del Regolamento Generale sulla Protezione dei Dati
Notifica di Data Breach
Dal 25 maggio 2018, tutti i titolari sono tenuti a comunicare all’autorità di controllo le violazioni dei dati (Data Breach) entro 72 ore e senza ingiustificato ritardo. Tale segnalazione però va fatta solo se si ritiene che da una violazione possano derivare rischi per i diritti e le libertà degli interessati.
Quindi la notifica alle autorità di una violazione non è obbligatoria, ma spetta sempre al titolare che dovrà fare una valutazione adeguata dei rischi.
Se la probabilità del rischio è alto, il titolare dovrà informare anche gli interessati (ovvero le figure coinvolte) sempre “senza ingiustificato ritardo” ad eccezione di alcuni casi citati nel Regolamento sulla Privacy all’articolo 34.
Art.34 del Regolamento Generale sulla Protezione dei Dati
Nomina di un Responsabile del Trattamento Dati (DPO)
Il titolare del trattamento dati deve nominare il responsabile (DPO), altro fattore che riflette l’approccio di responsabilità che è la protagonista di tutta la normativa.
Questa nomina serve a facilitare la messa in atto del regolamento da parte di titolari e responsabili.
Rientrano tra i compiti di questa figura la sensibilizzazione e formazione del personale e la sorveglianza sullo svolgimento della valutazione di impatto. Abbiamo già nominato questo termine nel paragrafo precedente; l’articolo 35 del Regolamento Europeo prevede che questa valutazione venga fatta dal titolare nei casi in cui un trattamento, che prevede l’uso di nuove tecnologie, possa rappresentare una forma di rischio elevato per la libertà e i diritti delle persone fisiche.
Art.35 del Regolamento Generale sulla Protezione dei Dati
Considerazioni sul principio di Accountability
Con questo articolo abbiamo voluto approfondire il principio di Accountability, che è uno dei più importanti punti cardine del GDPR, cercando di porre l’attenzione su tutti i compiti che riguardano i titolari e i responsabili aziendali.
È assolutamente corretto che queste figure, fondamentali all’interno di un’azienda, siano messe nella condizione di essere “accountable” delle attività svolte per la tutela dei dati personali degli interessati (persone fisiche, giuridiche, enti o associazioni), in quanto si tratta della loro azienda ed è giusto sensibilizzare le principali figure coinvolte nel GDPR.
Seguici per non perdere nuovi approfondimenti sulle tematiche che riguardano il tema della sicurezza dei dati personali, siamo presenti anche su Facebook, Twitter e Linkedin!
Contattaci per avere il nostro supporto su tutto ciò che riguarda il GDPR o vienici a trovare in via Natale Battaglia 25 a Milano!
EuroSpace, professionisti al Tuo fianco, l’azienda “super accountable”!
Fonte dell’articolo: Garante della Privacy: approccio basato sul rischio e misure di accountability
Tutti gli articoli citati: Regolamento Generale sulla Protezione dei Dati
Valutazione di impatto: Garante della Privacy: definizione di valutazione di impatto
