Il nuovo regolamento europeo in materia di protezione dei dati personali ha introdotto esplicitamente nel sistema legislativo un ruolo di responsabilità del titolare e del responsabile del trattamento. Il termine utilizzato dal legislatore europeo per esprimere il concetto è accountability GDPR, traducibile in responsabilizzazione.

Il concetto di accountability nell’art. 5 GDPR

L’art. 5 del GDPR (Regolamento Generale sulla protezione dei dati) individua come Titolare il soggetto competente a garantire il rispetto dei principi posti dalla nuova disciplina in tema di trattamento dei dati personali: liceità, correttezza, trasparenza, limitazione delle finalità, minimizzazione, esattezza, limitazione della conservazione, integrità e riservatezza.

Oltre a dover garantire il rispetto dei principi come sopra, iI Titolare deve essere in grado di comprovarlo: questo costituisce il nucleo essenziale del principio di accountability: non solo adempiere ma anche provare ogni singolo adempimento.

Il concetto di accountability nell’art. 24 GDPR

Il concetto di accountability viene ulteriormente delineato dall’art. 24 del Regolamento che prevede che il Titolare del trattamento debba mettere in atto, nonché riesaminare ed aggiornare, misure adeguate tecniche ed organizzative, idonee non solo a garantire ma anche di essere in grado di dimostrare che le operazioni di trattamento vengano effettuate in conformità alla nuova disciplina.

Le predette misure vanno valutate di volta in volta, tenendo in considerazione una serie di elementi tra cui la natura, l’ambito di applicazione, il contesto e le finalità del trattamento, nonché i rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche.

Le misure da adottare ai fini dell’accountability GDPR

La nuova disciplina non prevede più delle misure minime che è necessario adottare, quali ad esempio quelle contenute nell’Allegato B al Codice Privacy, ma sarà necessario individuare di volta in volta quelle maggiormente adeguate al caso reale in esame, alla luce degli elementi sopra indicati. Ecco perchè è importante una attenta consulenza GDPR.

L’introduzione del concetto di accountability nel GDPR determina l’onere di adottare un nuovo approccio nella gestione della protezione dei dati da parte delle singole organizzazioni.

Il GDPR interviene in una duplice direzione:

• da una parte lascia maggior discrezionalità al Titolare del trattamento nel decidere attraverso quali modalità attuare per la tutelare dei dati, abbandonando ad esempio il concetto di misure minime di sicurezza;
• dall’altro accompagna la predetta discrezionalità dall’onere di dimostrare le motivazioni delle proprie scelte, oltre che di documentare le suddette scelte effettuate.