Il principio di accountability nel GDPR
- Sara Maria Marsella
- 27 giu 2024
- Tempo di lettura: 8 min
Aggiornamento: 28 ago 2024
1. Introduzione
L’obiettivo del Regolamento generale sulla protezione dei dati personali (Regolamento 679/2016, di seguito «GDPR») è assicurarsi che i diritti fondamentali e le libertà delle persone fisiche siano rispettati. Per realizzare tale obiettivo introduce il principio di accountability. Nel presente articolo si illustrerà il significato del termine accountability, l’evoluzione dell’approccio alla conformità sulla protezione dei dati personali, gli articoli di riferimento all’interno del GDPR, gli adempimenti richiesti ai soggetti coinvolti e infine si sottolineerà la rilevanza del principio esaminato anche in successive normative europee.
2. Il principio di accountability e la sua evoluzione
Il principio viene enunciato all’articolo 5.2 del GDPR: il termine accountability è traducibile in italiano con il termine «responsabilizzazione» e indica la necessità per il titolare del trattamento e del responsabile del trattamento non solo di conformarsi alla normativa, ma anche e soprattutto di rendere conto del proprio operato documentando le misure tecniche e organizzative adottate per raggiungere una protezione effettiva degli interessati. Per rispettare il principio di accountability dunque non è prevista una unica serie di misure adeguata per tutti: è necessario commisurare le misure tecniche e organizzative a numerosi elementi, tra i quali vi sono lo stato dell’arte e il contesto.
Il principio di accountability era già presente nelle Linee guida sulla protezione della privacy e sui trasferimenti transfrontalieri di dati personali dell’OCSE nel 1980, ma la Direttiva 95/46 aveva seguito un approccio di conformità formale, legato al rispetto di prescrizioni specifiche: il GDPR cambia l’approccio e segna il passaggio da una conformità formale, legata alla previsione di misure minime di sicurezza, alla conformità sostanziale, legata alle decisioni adottate dal titolare del trattamento e dal responsabile del trattamento, i quali vengono dunque responsabilizzati.
Nel recepire la Direttiva 95/46 l’Italia aveva previsto all’articolo 33 le misure minime di sicurezza e all’articolo 34 era menzionato l’Allegato B, contenente il disciplinare tecnico in materia di misure minime di sicurezza. Con l’adozione del GDPR e con il successivo decreto legislativo 101/2018 di adeguamento del Codice privacy, gli articoli menzionati sono stati abrogati insieme all’Allegato B. Il mutamento di approccio non rende inutile osservare le misure minime di sicurezza indicate nell’Allegato ma le rende solo la possibile base da cui partire – qualora non obsolete – e non il punto di arrivo. La conformità alla normativa in materia di protezione dei dati personali dunque deve tenere conto dell’evoluzione tecnologica e deve partire da una profonda presa di consapevolezza da parte di titolari e responsabili del trattamento: ciò si traduce anche nell’esigenza di investire nella formazione dei propri dipendenti, prevedendo attività specifiche di training.
Dunque, se da un lato con il GDPR titolari e responsabili del trattamento hanno maggiore libertà rispetto al passato nella scelta delle misure da implementare, potendo bilanciare le esigenze di tutela dei diritti e delle libertà degli interessati e di mitigazione del rischio con le proprie disponibilità economiche e con le dimensioni della propria organizzazione, dall’altro maggiore discrezionalità può portare a maggior incertezza, soprattutto nel caso in cui non vi sia completa consapevolezza dell’importanza della normativa sulla protezione dei dati personali. Tale cambio di passo emerge anche dal fatto che il controllo preliminare che veniva effettuato dal Garante per la protezione dei dati personali si trasforma in un controllo ex post, fatta eccezione di alcuni casi identificati nella normativa stessa.
Concludendo la spiegazione del significato del principio di accountability, emerge come esso sia strettamente collegato al concetto di fiducia e al tema della verifica del rispetto della normativa, come spiegato da Giovanni Buttarelli nel 2016. Infatti, accrescere la responsabilizzazione dei soggetti che pongono in essere al trattamento contribuisce a ottenere trattamenti più sicuri e di conseguenza aumenta la fiducia degli interessati.
3. I principi e i criteri da considerare
L’articolo 5 del GDPR contiene i principi da rispettare per porre in essere i trattamenti di dati personali conformi. Il principio di accountability si trova nel secondo paragrafo ed enuncia che «Il titolare del trattamento è competente per il rispetto del paragrafo 1 e in grado di comprovarlo (responsabilizzazione)». Dunque, richiamando il paragrafo 1, il GDPR incarica il titolare di assicurarsi del rispetto, e di comprovarlo, dei seguenti principi:
liceità, correttezza e trasparenza;
limitazione delle finalità;
minimizzazione dei dati;
esattezza;
limitazione della conservazione;
integrità e riservatezza;
sistema di gestione.
Il titolare del trattamento deve adottare un comportamento proattivo, individuando e implementando le misure necessarie per garantire il rispetto del GDPR e per mitigare il rischio. Dunque, rispetto al passato si inverte la logica, dal momento che il GDPR non fornisce indicazioni specifiche ma solo di principio: questo elemento può causare assenza di certezza giuridica, ma allo stesso tempo creare disposizioni eccessivamente specifiche avrebbe potuto portare a un regolamento obsoleto, data la velocità con la quale si muove il mondo delle nuove tecnologie. Per questo, come si vedrà nel prosieguo dell’articolo, si preferisce lasciare spazio a formule quali «tenuto conto dello stato dell’arte» e simili.
Pertanto, è necessario approfondire i criteri che il titolare deve tenere in considerazione nel corso di ogni trattamento, in quanto strettamente legati al principio di accountability. Successivamente si descriveranno alcuni degli adempimenti da tenere in considerazione, per consentire una comprensione concreta del principio in esame.
3.1 Privacy by design e privacy by default
Questi principi sono contenuti all’interno dell’articolo 25 GDPR e richiedono di predisporre trattamenti conformi al GDPR e dunque rispettosi dei diritti e delle libertà degli interessati sin dalla progettazione e come impostazione predefinita: implementare questi criteri consente di contribuire alla presa di consapevolezza di chi pone in essere il trattamento di dati personali.
3.2 Approccio basato sul rischio
Come emerge in particolare dalla lettura degli articoli 24 e 32, il GDPR parte dall’assunto secondo il quale è impossibile eliminare completamente il rischio per i diritti e le libertà degli interessati: per questo motivo il focus viene spostato verso la mitigazione del rischio. Per mitigare il rischio, è necessario effettuare una valutazione dei rischi che si possono manifestare in ragione del trattamento. Tale attività va documentata e in base all’esito andranno stabilite le misure necessarie per procedere con il trattamento e l’eventuale necessità di procedere con una valutazione di impatto sulla protezione dei dati, ai sensi dell’articolo 35.
4. Responsabilità e adempimenti
Avendo compreso il ruolo cardine del principio di accountability all’interno del GDPR e avendo enunciati gli ulteriori criteri ad esso collegati, è necessario menzionare gli adempimenti che titolari e responsabili del trattamento sono tenuti a porre in essere per rispettare il GDPR. È bene sottolineare che la maggiorparte degli obblighi previsti incombono sul titolare del trattamento.
Infatti, ai sensi dell’articolo 24 si legge quanto segue: «Tenuto conto della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento. Dette misure sono riesaminate e aggiornate qualora necessario».
I titolari del trattamento dunque sono responsabili dell’identificazione e dell’implementazione delle misure tecniche e organizzative adeguate, commisurate al livello di rischio emergente dalla valutazione svolta e tenendo conto degli elementi presi in considerazione dall’articolo. Dunque, in concreto, i titolari sono tenuti a:
considerare la conformità di ogni trattamento ai principi di cui all’articolo 5.1;
definire correttamente ruoli e responsabilità all’interno della propria organizzazione;
redigere e aggiornare il registro delle attività di trattamento ai sensi dell’articolo 30;
designare il responsabile del trattamento tramite «contratto o altro atto giuridico a norma del diritto dell’Unione o degli Stati membri»;
nominare le persone autorizzate al trattamento dei dati personali, sulla base del GDPR e di quanto previsto nel Codice privacy italiano;
formare il personale e istruirlo correttamente;
fornire le informazioni richieste dagli articoli 13 e 14 agli interessati, nel rispetto del principio di trasparenza;
implementare misure di sicurezza adeguate al rischio posto dal trattamento ai sensi dell’articolo 32,
aderire a eventuali codici di condotta o meccanismi di certificazione ai sensi degli articoli 40 e 42;
nominare il responsabile per la protezione dei dati personali (cd. Data protection officer), quando richiesto;
effettuare la notifica e la comunicazione di eventuali data breach ai sensi degli articoli 33 e 34.
La lista di adempimenti sopra indicata certamente potrebbe essere ulteriormente arricchita, proprio in ragione del fatto che la conformità in materia di protezione di dati personali comporta un continuo miglioramento e aggiornamento di quanto si è fatto. Si ribadisce ulteriormente che la conformità al GDPR non si limita alla implementazione delle misure tecniche e organizzative adeguate, ma si estende alla necessità di doverle dimostrare. Tali adempimenti non sono più meramente formali, ma al contrario – come sottolinea il Garante – si tratta di elementi che formano «parte integrante di un sistema di corretta gestione dei dati personali» e che devono essere «specifici e dimostrabili». Ad esempio, sebbene alcuni adempimenti come la tenuta del registro dei trattamenti siano previsti obbligatoriamente solo per le organizzazioni che hanno più di 250 dipendenti o comunque per coloro che effettuano trattamenti a rischio, è consigliato che anche i soggetti di dimensioni inferiori predispongano il registro in modo tale da avere contezza dei trattamenti posti in essere e di poter dimostrare quanto implementato in caso di richiesta da parte dell’Autorità.
Per quanto riguarda il responsabile del trattamento, oltre che per il titolare, è fondamentale porre attenzione all’articolo 32: tale articolo, riguardante la sicurezza del trattamento, può essere considerato un ulteriore emblema del principio di accountability: qui, il legislatore europeo dà delle indicazioni generali sulle possibili misure di sicurezza da adottare. Le uniche misure espressamente indicate sono la pseudonimizzazione e la cifratura dei dati personali, ma chiaramente gli adempimenti di titolari e responsabili devono andare oltre tali misure.
Per concludere, oltre al GDPR e al Codice privacy è fondamentale tenere a mente la cd. soft law dell’EDPB, del Garante per la protezione dei dati personali e delle altre Autorità di controllo europee. Ad esempio, per ottenere maggiori indicazioni in relazione alle misure da adottare per garantire la sicurezza del trattamento è utile leggere il provvedimento del Garante per la protezione dei dati personali sugli amministratori di sistema del 2008 con le successive modifiche.
5. L’accountability nella strategia europea
Sulla scia di quanto previsto dal GDPR, l’Unione europea ha continuato a porre il principio di accountability alla base delle successive normative: come si affronterà brevemente nel corso dell’articolo, tra queste normative vi è il Regolamento sull’intelligenza artificiale (cd. AI Act) e il Regolamento sulla resilienza operativa digitale delle entità finanziarie (cd. Dora). Questo cambio di passo, ormai assodato, è particolarmente importante in quanto fa comprendere lo spostamento di responsabilità sulle organizzazioni, le quali devono affrontare ingenti investimenti per divenire conformi alle normative enunciate: tali investimenti e tale presa di consapevolezza sono fondamentali per creare un contesto quanto più sicuro e resiliente possibile, nel quale gli interessati e in generale i soggetti che interagiscono con le organizzazioni e i loro servizi digitali possano fidarsi e conoscere le possibili conseguenze delle proprie azioni. L’approccio europeo, affinché sia efficace, viene accompagnato da sanzioni ingenti e dalla necessità di cooperare con le Autorità. Per concludere, il principio di accountability dimostra come essere conformi alla normativa sulla protezione dei dati personali e alle normative correlate non può in alcun modo essere considerato un quid pluris.
Bibliografia
A. Barberisi – M. Martorana, Il principio di accountability e l'abrogazione dell'allegato B) del Codice della privacy, Altalex, 2019, https://www.altalex.com/documents/news/2019/01/10/il-principio-di-accountability-e-abrogazione-allegato-b-codice-della-privacy
B. Martino, Principio di accountability, come incide sull’organizzazione aziendale, 2023, https://legalfordigital.it/gdpr/principio-di-accountability-cosa-significa/
Garante per la protezione dei dati personali, Accountability (responsabilizzazione), https://www.garanteprivacy.it/regolamentoue/approccio-basato-sul-rischio-e-misure-di-accountability-responsabilizzazione-di-titolari-e-responsabili
Garante per la protezione dei dati personali, Misure di sicurezza, https://www.garanteprivacy.it/misure-di-sicurezza
Garante per la protezione dei dati personali, Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema, 2008, https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/1577499
GDPRlab.it, Il principio di Accountability nel GDPR e i documenti utili, 2023, https://accademiaitalianaprivacy.it/dettaglioNews.asp?id=761#:~:text=Insomma%20il%20principio%20di%20accountability,e%20trattamento%20dei%20dati%20personali
G. Buttarelli, The EU GDPR as a clarion call for a new global digital gold standard, 2016, https://www.edps.europa.eu/press-publications/press-news/blog/eu-gdpr-clarion-call-new-global-digital-gold-standard_en
G. Ziccardi, GDPR for dummies: corso in 52 settimane. Lezione #22: Le basi del principio di accountability, 2023, https://www.youtube.com/watch?v=GdjxfO4oQyA
M. Iaselli, Il principio di accountability: uno dei pilastri del GDPR, Altalex, 2018, https://www.altalex.com/documents/news/2018/02/13/il-principio-di-accountability-uno-dei-pilastri-del-gdpr
N. Wilson – A. Reid, Data Controllers as Data Fiduciaries: Theory, Definitions & Burdens of Proof, in Colorado Law Review, Vol. 95, 2024, https://scholar.law.colorado.edu/lawreview/vol95/iss1/4/
R. Barrella, Accountability, cosa significa per il GDPR, 2022, https://mondoprivacy.it/blog/gdpr/accountability-cosa-significa-per-il-gdpr/
Comments