Il nuovo Regolamento Europeo n. 2016/679 in materia di protezione dei dati personali, meglio conosciuto con l’acronimo inglese GDPR, “General Data Protection Regulation”, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (pubblicato in Gazzetta Ufficiale Europea il 4 maggio 2016 ed entrato in vigore il 25 maggio dello stesso anno), sarà direttamente applicabile in tutti i Paesi UE dal 25 maggio 2018.
Tali paesi dovranno adoperarsi al fine di adeguare la normativa nazionale in materia di protezione dati alle disposizioni e novità previste dal Regolamento.
GDPR riscrive la disciplica della privacy in Europa
Il Regolamento riscrive integralmente la disciplina della privacy a livello europeo, ed è parte del c.d. "Pacchetto protezione dati" che, insieme alla Direttiva n. 2016/680 in materia di "Trattamento dati personali nei settori di prevenzione, contrasto e repressione dei crimini", sono volti a definire il nuovo quadro comune, in materia di tutela dei dati personali per tutti gli Stati membri della UE.
Il testo normativo del GDPR ha come obiettivo quello di assicurare un'applicazione coerente e omogenea delle norme relative al trattamento dei dati personali in tutta l'Unione e coinvolge qualsiasi operatore che, direttamente ed indirettamente, si occupi del trattamento di tali dati.
GDPR: principio di accountability
Uno dei principi fondamentali della nuova normativa sulla Privacy, è il “Principio di Accountability”, che il legislatore comunitario ha voluto inserire esplicitamente per garantire il massimo rispetto delle regole di correttezza e trasparenza nell’utilizzo dei dati personali, anche al fine di meglio tutelare i diritti dei cittadini nei confronti di imprese e pubbliche amministrazioni.
A tal fine, sono stati ampliati gli obblighi in materia di tutela dei dati personali in capo al Titolare e al Responsabile del trattamento.
Questi ultimi, infatti, non dovranno solo garantire il rispetto delle regole fissate per il trattamento dei dati personali, ma dovranno adottare, e dimostrare di aver adottato, una serie di misure giuridiche, organizzative, tecniche, per la protezione dei dati personali, anche attraverso l’elaborazione di specifici modelli organizzativi, adeguati al settore di interesse in cui svolge la propria attività.
Il termine anglosassone accountability, letteralmente in italiano vuol dire “responsabilità”, “obbligo di rispondere”, ma il legislatore italiano ha ritenuto di doverlo tradurre più propriamente con il termine “responsabilizzazione”.
Questo è sembrato il termine che meglio potesse rispecchiare l’essenza di questo principio, con il quale, da un lato, si richiede al titolare del trattamento di introdurre misure tecnico e organizzative conformi alla normativa privacy, e dall’altro vi è anche l’onere di dimostrare quanto messo in atto.
Infatti, con la responsabilizzazione del titolare del trattamento, si richiede non solo il rispetto degli obblighi iniziali previsti nel Regolamento, ma anche una continua attività di controllo e verifica delle proprie attività di trattamento.
Si tratta di un forte riconoscimento a livello normativo di un principio sviluppatosi nel corso della trentaduesima conferenza mondiale in tema privacy svoltasi a Gerusalemme nel 2010 e già riconosciuto dal Gruppo art. 29 (Working Party ex articolo 29), che aveva già rilevato (nella sua Opinion 3/2010) che il quadro giuridico allora vigente, non riusciva a garantire appieno il rispetto degli obblighi in materia di protezione dei dati personali, mancando meccanismi efficaci atti a fornire una protezione reale.
Responsabilizzare il titolare di un trattamento dati
In considerazione di ciò aveva proposto alla Commissione europea di esaminare l’opportunità di introdurre meccanismi basati sulla responsabilità, con un particolare accento sulla possibilità di includere un vero e proprio principio di “responsabilizzazione”.
L’obiettivo è “responsabilizzare il titolare di un trattamento dati” che così facendo, non è più mero esecutore di un elenco di misure imposte ad una norma, ma diviene responsabile delle misure operative e tecniche che riterrà opportune, efficaci e dunque adeguate per salvaguardare i dati che tratta.
Ogni addetto al trattamento dei dati, dovrà essere accountable con il regolamento: non solo, quindi, divenire responsabile delle scelte di mezzi, operazioni, procedure, in materia di trattamento dei dati, ma anche essere in grado di “dare conto” delle valutazioni svolte alla base delle scelte poi operate.
In senso più ampio, infatti, il principio di accountability, afferisce sia ad un obbligo di responsabilizzazione, che ad un obbligo rendicontazione in capo al responsabile: il titolare del trattamento, infatti, non solo deve adottare tutta una serie di misure tecniche, organizzative e legali idonee a garantire adeguata ed effettiva protezione dei dati personali, anche attraverso lo studio di modelli organizzativi ad hoc, ma ha anche l’onere di documentare e dimostrare che il trattamento dei dati sia stato effettuato in conformità al regolamento europeo in materia di privacy.
L’importanza del principio di accountability, o responsabilizzazione è dimostrata anche dal fatto che, il legislatore comunitario non vi ha dedicato un’unica disposizione, ma lo ha inserito in diverse norme del Regolamento: articolo 5, articolo 24 e considerando 74.
L’art. 5 del GDPR, individua nel titolare il soggetto competente a garantire il rispetto dei principi posti dalla nuova disciplina in tema di trattamento dei dati personali, quali quelli di liceità, correttezza e trasparenza, limitazione delle finalità, minimizzazione, esattezza, limitazione della conservazione, integrità e riservatezza.
Il co. II dell’art. 5 stabilisce poi che, oltre a dover garantire il rispetto dei suddetti principi, il titolare deve essere in grado di “comprovarlo”: ciò costituisce l’essenza del principio di accountability, in quanto tale soggetto ha l’onere di porre in essere una serie di adempimenti che rendano i principi posti dalla nuova disciplina dati verificabili nei fatti e non più soltanto obblighi giuridici esistenti sulla carta.
Il Regolamento parla in maniera più esplicita del principio di responsabilizzazione al paragrafo 1 dell’articolo 24, rubricato “Responsabilità del titolare del trattamento”. Tale norma prevede che, “il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento”.
LEGGI ANCHE: GDPR: il diritto all'oblio
Nuove misure da adottare
La nuova disciplina non indica più una serie di misure minime che il titolare del trattamento è tenuto ad adottare, ma queste vanno valutate caso per caso, considerando una serie di fattori, tra cui la natura, l’ambito di applicazione, il contesto e le finalità del trattamento, nonché i rischi in cui è possibile incorrere.
Viene poi specificato che le sopra citate misure “sono riesaminate e aggiornate qualora necessario”: si tratta di un principio del miglioramento continuo, di sicurezza come processo e non come prodotto che è emerso nelle best practice aziendali.
Ciò che viene richiesto ai titolari ed ai responsabili, adesso, è un approccio proattivo e non più reattivo, con focus su obblighi e comportamenti che prevengano in modo effettivo il possibile evento di danno, configurandosi sulle specificità dei diversi trattamenti cui si riferiscono.
Anche nel considerando 74 del Regolamento viene riportato il principio di responsabilità: “è opportuno stabilire la responsabilità generale del titolare del trattamento per qualsiasi trattamento di dati personali che quest’ultimo abbia effettuato direttamente o che altri abbiano effettuato per suo conto.
In particolare, il titolare del trattamento dovrebbe essere tenuto a mettere in atto misure adeguate ed efficaci ed essere in grado di dimostrare la conformità delle attività di trattamento con il presente regolamento, compresa l’efficacia delle misure. Tali misure dovrebbero tener conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché del rischio per i diritti e le libertà delle persone fisiche”.
L’articolo 24 ed il considerando 74 riassumono in un’unica frase i due aspetti essenziali della responsabilizzazione. Difatti, oltre a richiedere al titolare l’adozione di misure adeguate ed efficaci, richiedono anche a questi la capacità di dimostrare la conformità delle attività di trattamento con le disposizioni del Regolamento.
Due tipi di adempimenti per il titolare del trattamento
Pertanto, la corretta applicazione del principio di accountability racchiude in sé due diversi tipi di adempimenti per il titolare del trattamento:
- la necessità da parte di questi di adottare misure cosiddette “adeguate” (ex paragrafo 1 dell’articolo 24) al tipo di trattamento posto in essere.
- dall’altro, quella di adottare delle misure “efficaci” (ex considerando 74) affinché, oltre a garantire che il trattamento non leda i diritti e le libertà delle persone fisiche, ciò possa anche essere dimostrato.
Possiamo quindi dire che tali misure devono essere considerate per la loro validità sia ex ante, vale a dire prima della loro adozione e prima che il trattamento abbia inizio, ma anche ex post vale a dire una volta adottate, al termine del trattamento medesimo.
Con il termine “adeguato”, ci si riferisca al fatto che le misure adottate dal titolare debbano tenere conto del contesto e delle specifiche circostanze in cui avviene il trattamento.
Dunque, l’adeguatezza delle misure che il titolare deve adottare deve essere ricondotta alla considerazione ex ante di quelli che sono la natura, il campo di applicazione, il contesto e le finalità del trattamento, nonché il rischio per i diritti e le libertà delle persone fisiche coinvolte (previsto dal paragrafo 1 dell’articolo 24 e dal considerando 74).
Per quanto riguarda “l’efficacia” delle misure che il titolare di un trattamento deve adottare, la loro validità sarà valutata solo al termine dell’attività stessa di trattamento, vale a dire ex post, e i titolari hanno diversi modi per valutarla. Chiaro che, il titolare deve riesaminare e aggiornare le misure adottate qualora queste non si siano dimostrate efficaci.
LEGGI ANCHE: Come prepararsi al registro delle attività di trattamento?
Conclusioni
Il fatto che il principio di responsabilizzazione sia stato introdotto esplicitamente all'interno del sistema giuridico europeo in materia di protezione di dati personali porta con sé due conseguenze importanti.
In primo luogo diventa fondamentale per il titolare porre in essere misure e procedure interne al fine di rendere effettivi i principi di protezione dei dati e di assicurarne l'efficacia. Si può affermare a tal riguardo che l'accountability costituisce il "principio dei principi", tanto è vero che l'art. 30 del Regolamento attribuisce al titolare o al responsabile, l'obbligo di tenere un registro delle attività di trattamento svolte sotto la propria responsabilità, finalizzato a dimostrare la conformità delle regole interne attuate ai principi previsti nella normativa comunitaria.
In secondo luogo, proprio l’ulteriore obbligo di dimostrare il rispetto dei predetti principi, qualora le autorità garante nazionale ne facciano richiesta, da attuazione e garantisce il rispetto stesso del principio di responsabilizzazione.
Il nuovo GDPR ha creato una base normativa nuova, che non tende più ad un adempimento meramente formale degli obblighi in materia di privacy, ma che presuppone un attività concreta e sostanziale da parte degli addetti al trattamento dei dati personali.
Quindi, quello che il GDPR prescrive, oltre che un assetto normativo, è anche un nuovo approccio, un cambio culturale relativo al nucleo degli adempimenti previsti in ambito privacy.
Basti pensare che, il principio non esclude che il titolare possa voler offrire una tutela più ampia di quella garantita dalle disposizioni previste dal quadro giuridico generale e che garantisca una tutela maggiore di quella imposta dal Regolamento.
Ciò ci permette di capire come l’accountability non deve esser considerato solo come un principio fonte di obblighi per il titolare, ma è auspicabile che quanto in esso previsto diventi da subito una prassi adottata da tutti i titolari nel porre in essere attività di trattamento di dati personali.
