Accountability: come declinarla in azienda

«Il gdpr non è solo (e nemmeno “soprattutto”) un apparato normativo. È prima di tutto una metodologia.

L'errore più grande che si può fare è considerarlo come fonte di adempimenti burocratici.» (Prof. Francesco Pizzetti)

Il GDPR costituisce una svolta epocale nell’ambito della tutela dei dati personali in quanto introduce una lunga serie di novità: il principio di accountability è fra queste. Questo principio che costituisce ormai uno dei cardini sui quali si fonda il sistema di protezione dei dati personali delineato dal regolamento, segna un cambio di paradigma: il passaggio da una visione formale di applicazione di misure minime di sicurezza all'introduzione di un vero e proprio sistema di gestione privacy “risk based approach” senza, quindi, nessun elenco predefinito di adempimenti precisi ma basato sull'analisi dell'organizzazione e sulla successiva predisposizione di misure tecniche e organizzative “su misura” di questa, e sulla regolamentazione di processi e di attività.

Si passa quindi, da una concezione di adempimento formale della normativa privacy, ad un approccio sostanziale di protezione dei dati, strettamente connesso alla natura delle attività concretamente svolte, all’analisi dei rischi e alle misure di sicurezza che risultino adeguate rispetto alle singole fattispecie.

Ma in cosa consiste esattamente il principio di Accountability? Vediamolo.

In cosa consiste il principio di Accountability?

L'accountability impone al titolare del trattamento di mettere in atto misure tecniche e organizzative adeguate ed efficaci e di essere in grado di dimostrare che il trattamento dei dati sia effettuato in conformità con le disposizioni contenute nel Regolamento stesso.

Questo termine inglese, a causa delle differenze tra i sistemi giuridici, non è facilmente traducibile. Nella traduzione italiana ufficiale del Regolamento si parla, impropriamente, di “principio di responsabilità” quando si dovrebbe forse più correttamente parlare di “responsabilità e, insieme, prova della responsabilità” in quanto il termine fa riferimento ad un concetto a metà strada fra la responsabilità e la compliance. La prassi poi ha optato per la traduzione in “responsabilizzazione” o “rendicontazione”. La traduzione spagnola del Regolamento è forse quella più calzante dato che si fa riferimento alla “responsabilidad proactiva”.

Il GDPR, infatti, impone a titolari e responsabili del trattamento proprio l'adozione di comportamenti proattivi in ogni fase del trattamento (e fin dalla sua progettazione) che dimostrino la concreta adozione di misure finalizzate ad assicurare una corretta applicazione del regolamento: il titolare del trattamento, quindi, ha il compito di decidere autonomamente le modalità, le garanzie e i limiti del trattamento dei dati personali, nel rispetto delle disposizioni normative e alla luce di alcuni criteri specifici indicati nel regolamento stesso.

Il principio viene esplicitato all’art. 5 del Regolamento dove, dopo aver elencato i “Principi applicabili al trattamento dei dati personali”, nel secondo paragrafo, si legge che il titolare del trattamento è competente per il rispetto del paragrafo 1 e in grado di comprovarlo.

Non solo: all‘accountability è dedicato anche l'art. 24: “Tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravita diverse per i diritti e le libertà delle persone fisiche, il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento. Dette misure sono riesaminate e aggiornate qualora necessario”.

L'essenza del principio l’accountability è quindi duplice:

• da una parte c'è il rispetto sostanziale dei principi del GDPR: il titolare del trattamento deve (e ha una responsabilità sostanziale nel) adottare “misure adeguate ed efficaci” per garantire che il trattamento dei dati sia effettuato in modo conforme al Regolamento. La responsabilità del titolare non si limita al porre in essere delle misure adeguate, ma si estende anche alla puntuale e sistematica verifica della loro efficacia;
• dall'altra egli deve essere in grado di dimostrare l’adeguatezza delle misure realizzate in virtù dell’art. 24: quel rispetto e quella responsabilità sostanziale prendono forma perché non basta essere compliant, ma occorre anche documentare e rappresentare all'esterno la conformità al regolamento.

Come duplice è anche il meccanismo che regola l'accountability: 

• il primo livello che si potrebbe definire di natura obbligatoria, è costituito proprio dagli obblighi di base, vincolanti per tutti i titolari di trattamento; ai quali questi sono tenuti ad adeguarsi al fine di garantire il rispetto dei principi del Regolamento, anche per evitare l'irrogazione di sanzioni. Questi obblighi comprendono due elementi fondamentali: l‘attuazione di misure tecniche e organizzative in conformità ai principi espressi all‘art. 5 e la documentazione di tale attuazione;
• Il secondo livello è invece composto da tutte quelle iniziative di natura volontaria, che il titolare può mettere in atto anche se non sono previste come cogenti dalla normativa. Prevedere garanzie maggiori rispetto a quelle previste per legge è espressione di quel comportamento proattivo che fonda il principio di accountability. Esempi tipici di queste misure sono la nomina di un Data Protection Officer anche al di fuori dei casi previsti dall'art. 37 del GDPR o la previsione di tempi di risposta particolarmente rapidi nel caso di esercizio dei diritti da parte dell'interessato.

Se dovessimo chiederci quali siano esattamente le misure che titolare del trattamento deve adottare per assolvere gli obblighi imposti dalla normativa ed evitare l'irrogazione di sanzioni dovremmo scontrarci con il fatto che, per scelta del legislatore, non esiste un elenco preciso di queste misure ed anzi è stato abrogato anche il riferimento alle “misure minime di sicurezza” di cui al D. Lgs. 196/2003 dovendosi ora fare riferimento esclusivamente al caso concreto (tipologia di dati trattati, finalità del trattamento, livello di rischio ecc...).

La normativa in materia di protezione dei dati quindi, lascia che il titolare del trattamento sia libero di decidere:

• quali siano le finalità del trattamento, i mezzi che ritiene opportuni per raggiungerle e le misure di sicurezza da impiegare;
• quali siano le “misure adeguate ed efficaci” da intraprendere per garantire che il trattamento dei dati sia effettuato in conformità al Regolamento, senza che debba più attuare obbligatoriamente specifiche misure tecniche ed organizzative imposte dal legislatore.

Quindi che approccio dovrebbe avere?

Qualche suggerimento utile si può rinvenire sia nelle indicazioni del WP29 sia nelle norme nelle ISO 29100:2011 che precisano come il trattamento di dati personali comporti un obbligo in capo ai titolari che lo effettuano di adottare misure concrete e pratiche al fine di garantire la tutela dei dati stessi.

In particolare il titolare del trattamento dovrebbe:

• Mappare i trattamenti di dati che svolge e le categorie di dati personali che tratta all’interno dell’organizzazione, individuando quelli necessari rispetto alle finalità che persegue, tralasciando quelli superflui;

• Tenere, compilare e aggiornare i registri delle attività di trattamento e quello delle violazioni di dati (anche se non notificate al Garante e non comunicate agli interessati);

• Definire la data retention per le singole categorie di dati oggetto di trattamento, conformemente al principio di limitazione della conservazione dei dati personali;

• Documentare tutte le misure tecniche ed organizzative che ha scelto di attuare;

• Prevedere politiche in materia di protezione dei dati e procedure specifiche che coinvolgano tutti i soggetti che all'interno dell'organizzazione trattano dati, attribuendo ruoli, compiti e individuando le responsabilità;

• Prevedere attività di audit;

• Formare il personale circa l'importanza della normativa in materia di protezione dei dati, stabilendo un capitolo di spesa specifico allo scopo;

• Condurre una dpia quando un trattamento può comportare un rischio elevato per i diritti e le libertà delle persone interessate perché il titolare del trattamento non è tenuto solo a garantire l'osservanza delle disposizioni del gdpr ma anche a dimostrare come garantisce questa osservanza;

• Vincolare eventuali terze parti ai quali verranno trasferiti i dati, a garantire un livello di tutela equivalente a quello assicurato;

• Informare gli interessati del verificarsi di eventuali violazioni e le misure adottate per porvi rimedio;

• Fornire informazioni chiare e trasparenti agli interessati, anche per quel che riguarda l’esercizio dei loro diritti;

• Designare un dpo che è un soggetto indipendente, dotato di una conoscenza specialistica in materia di protezione dei dati personali che potrà, così, fornire consulenza circa gli obblighi derivanti dalla normativa in materia di protezione dei dati, sorvegliare sull'osservanza al gdpr delle politiche del titolare del trattamento in materia di privacy, fornire un parere sulle valutazioni di impatto (dpia) e fungere da punto di contatto con il Garante Privacy. Con la nomina di un dpo, essendo questa finalizzata ad agevolare l'attuazione del gdpr, si manifesta in tutta la sua concretezza la responsabilizzazione del titolare del trattamento;

• Aderire a codici di condotta e a meccanismi di certificazione. Come detto, il principio di accountability impone al titolare del trattamento sia l’adozione di misure tecniche e organizzative che minimizzino i rischi legati al trattamento dei dati sia di dimostrare di aver fatto il possibile per evitare di incorrere in una violazione della normativa. Al fine di perseguire concretamente questi obiettivi, il gdpr prevede che il titolare del trattamento possa avvalersi di questi due strumenti:

1. I codici di condotta sono uno strumento elaborato da associazioni ed organismi rappresentanti le categorie di titolari o responsabili del trattamento attraverso cui è possibile dimostrare la conformità al regolamento. Assumono valenza probatoria sia rispetto agli obblighi imposti al titolare del trattamento sia con riferimento all’adozione di misure tecniche ed organizzative adeguate a garantire la sicurezza dei trattamenti. L’adesione a questi codici è un elemento che viene tenuto in considerazione anche nell’eventuale procedimento di determinazione di sanzioni amministrative pecuniarie ex;

2. La certificazione, invece, è uno strumento attraverso cui il titolare del trattamento può dimostrare la compliance dei trattamenti posti in essere perché determina una sorta di “presunzione di conformità” tra gli standard adottati e quelli richiesti dalla normativa. Anche le certificazioni sono tenute in considerazione nel procedimento di determinazione di sanzioni amministrative pecuniarie benché siano sì uno strumento per dimostrare il rispetto della normativa, ma di per sé non garantiscano la conformità alla stessa. Per questo motivo, la responsabilità del titolare rispetto al trattamento effettuato rimane inalterata, come rimangono impregiudicati i poteri delle Autorità di controllo.

Come garantire il principio di accountability

In conclusione possiamo affermare che il titolare del trattamento deve garantire il rispetto del principio di accountability sia adottando misure tecniche ed organizzative adeguate ed efficaci, sia redigendo e aggiornando costantemente le procedure e la documentazione necessaria a dimostrare la loro adozione.

Non esiste un catalogo di misure standard dal quale attingere per garantire la conformità al gdpr e non esiste più nemmeno un nucleo “minimo” di misure da applicare, ma occorre necessariamente fare riferimento al caso concreto.

Tuttavia sarebbe buona norma, da parte del titolare del trattamento che voglia dimostrare di essere accountable. implementare le attività sopra descritte per garantire il rispetto della normativa in materia di protezione dei dati personali, anche al fine di minimizzare i rischi di irrogazione di sanzioni da parte dell'autorità di controllo.

– Marina Mirabella, Avvocato e collaboratrice di CyberAcademy