In questo articolo si analizzeranno i punti salienti del principio di accountability i quali, se rispettati e attuati, permettono di garantire una corretta gestione dei dati personali, nonché di essere “compliant” rispetto alle norme del Regolamento UE 679/2016 (d’ora in avanti “RGPD”).
Cosa significa “accountability”?
L’accezione inglese “accountability” significa “responsabilizzazione” di Titolari e Responsabili del trattamento. Il principio di accountability è, difatti, un principio valevole per imprese, enti, associazioni o professionisti, i quali devono essere consapevoli del fatto che i dati personali necessitano di essere trattati in modo consapevole e corretto. Questo è un aspetto fondamentale poiché chi raccoglie questi tipi di dati ha l’obbligo di essere responsabile ancor prima di effettuare qualsiasi tipo di trattamento.
La traduzione in italiano di questo principio non rende in maniera efficace quello che è il vero concetto di accountability. I principi del trattamento dei dati previsti dal RGPD sono grosso modo gli stessi che c’erano prima della sua entrata in vigore: liceità, correttezza e trasparenza, limitazione della finalità, integrità e riservatezza, esattezza, limitazione della conservazione, minimizzazione dei dati (ovvero quelli che nel Codice privacy erano contenuti nell’articolo 11 e che fanno parte ormai del senso comune di chi si è occupato di protezione dei dati). Da questo punto di vista non è stata apportata alcuna novità dal RGPD. Dobbiamo, però, comprendere meglio cosa intende il RGPD con il termine accountability e provare a superare l’ostacolo spesso più difficile: il passare dalla forma alla sostanza.
Perché il principio di accountability è di fondamentale applicazione?
Per un verso, il principio di accountability è una questione etica e di buon senso perché i dati personali dei dipendenti, dei pazienti, dei clienti, degli alunni e dei cittadini in generale non sono dati di proprietà dei Titolari del trattamento e dei Responsabili, bensì dei legittimi proprietari che li hanno loro affidati al fine di consentirne la protezione.
Per altro verso, il RGPD impone ai Titolari del trattamento e ai Responsabili l’adozione di comportamenti preventivi e mirati tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione del RGPD. Quanto appena enunciato è una importante novità rispetto al passato in quanto i Titolari del trattamento possono decidere in totale autonomia le modalità, le garanzie e i limiti del trattamento dei dati personali. Difatti, l’espressione inglese “data protection by default and by design” [1] esprime la necessità di configurare il trattamento prevedendo fin dall’inizio le garanzie indispensabili “al fine di soddisfare i requisiti” del Regolamento e tutelare i diritti degli interessati – tenendo conto del contesto complessivo ove il trattamento si colloca e dei rischi per i diritti e le libertà degli interessati. Ciò deve avvenire a monte, prima di procedere al trattamento dei dati vero e proprio (“sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso”, secondo quanto afferma il primo comma dell’articolo 25 del Regolamento) e richiede, pertanto, un’analisi preventiva da parte dei Titolari che devono attuare una serie di attività specifiche e dimostrabili.
[1] Tale espressione è stabilita all’articolo 25 del Regolamento, il quale recita: “1. Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento, sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso il Titolare del trattamento mette in atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati. 2. Il Titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento. Tale obbligo vale per la quantità dei dati personali raccolti, la portata del trattamento, il periodo di conservazione e l’accessibilità. In particolare, dette misure garantiscono che, per impostazione predefinita, non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l’intervento della persona fisica. 3. Un meccanismo di certificazione approvato ai sensi dell’articolo 42 può essere utilizzato come elemento per dimostrare la conformità ai requisiti di cui ai paragrafi 1 e 2 del presente articolo”.
Quali sono le attività che il Titolare del trattamento deve attuare?
Le attività specifiche e dimostrabili di cui sopra sono quelle connesse al rischio inerente al trattamento. Questo tipo di rischio è da intendersi come rischio di impatti negativi sulle libertà e i diritti degli interessati (si vedano i considerando 75-77 del RGPD); tali impatti dovranno essere analizzati attraverso un apposito processo di valutazione (si vedano gli articoli 35-36 del RGPD) tenendo conto dei rischi noti o evidenziabili e delle misure tecniche e organizzative (anche di sicurezza) che il Titolare ritiene di dover adottare per ridurre tali rischi. All’esito della suddetta valutazione di impatto il Titolare potrà decidere in autonomia se iniziare il trattamento oppure consultare l’Autorità di controllo competente per ottenere indicazioni su come gestire il rischio residuale; l’Autorità non avrà il compito di “autorizzare” il trattamento, bensì di indicare le misure ulteriori eventualmente da implementare a cura del Titolare e potrà, ove necessario, adottare tutte le misure correttive ai sensi dell’articolo 58 del RGPD.
Pertanto, l’intervento da parte dell’Autorità di controllo sarà per lo più “ex post”, ossia successivo alle scelte assunte in autonomia dal Titolare; ciò spiega l’abolizione a partire dal 25 maggio 2018 di alcuni istituti come la notifica preventiva dei trattamenti all’Autorità di controllo e il cosiddetto prior checking (o verifica preliminare), sostituiti da obblighi di tenuta di un Registro dei trattamenti da parte del Titolare/Responsabile e, appunto, di effettuazione di valutazioni di impatto in piena autonomia, con eventuale successiva consultazione dell’Autorità, tranne alcune specifiche situazioni di trattamento [2].
[2] Tanto è che il paragrafo 5 dell’articolo 36 del Regolamento stabilisce che “1. Il titolare del trattamento, prima di procedere al trattamento, consulta l’autorità di controllo qualora la valutazione d’impatto sulla protezione dei dati a norma dell’articolo 35 indichi che il trattamento presenterebbe un rischio elevato in assenza di misure adottate dal titolare del trattamento per attenuare il rischio. […] 5. Nonostante il paragrafo 1, il diritto degli Stati membri può prescrivere che i titolari del trattamento consultino l’autorità di controllo, e ne ottengano l’autorizzazione preliminare, in relazione al trattamento da parte di un titolare del trattamento per l’esecuzione, da parte di questi, di un compito di interesse pubblico, tra cui il trattamento con riguardo alla protezione sociale e alla sanità pubblica”.
Responsabile della protezione dei dati
Anche la designazione di un Responsabile della protezione dati riflette l’approccio responsabilizzante che è proprio del RGPD (si veda l’articolo 39), essendo finalizzata a facilitare l’attuazione del RGPD da parte del Titolare/Responsabile. Non è un caso, infatti, che fra i compiti del RPD rientrino “la sensibilizzazione e la formazione del personale” e la sorveglianza sullo svolgimento della valutazione di impatto di cui all’articolo 35. La sua designazione è obbligatoria in alcuni casi, ovvero «quando il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali» (per approfondimenti in merito consiglio l’articolo al seguente link: https://studiosigaudo.com/news/responsabile-protezione-dati-designazione-certificazioni/), e il RGPD tratteggia le caratteristiche soggettive e oggettive di questa figura, nonché le modalità mediante le quali il Responsabile della protezione dei dati debba essere designato (nel link trascritto di seguito potrete esaminare in modo dettagliato l’argomento in esame https://studiosigaudo.com/news/responsabile-protezione-dati-nomina-funzioni-principali/).
Registri delle attività di trattamento
I registri delle attività di trattamento sono stabiliti dall’articolo 30 del RGPD e sono uno degli elementi fondamentali per la definizione del quadro generale di accountability (https://studiosigaudo.com/news/registro-trattamenti-domande-risposte-garante-privacy/) poiché mediante questi, il Titolare e il Responsabile, dimostrano di conformarsi ai principi stabiliti dal RGPD stesso.
Misure di sicurezza tecniche e organizzative
Come si evince dai precedenti paragrafi, il principio di accountability comporta per qualsiasi organizzazione una necessaria e approfondita auto-analisi sia della modalità di circolazione (interna ed esterna) dei dati personali (e quindi delle procedure adottate per ritenere tali trattamenti conformi alla normativa), che delle specifiche misure di sicurezza tecniche e organizzative messe in atto. È inoltre necessario monitorare la correttezza delle procedure di trattamento e protezione dei dati personali, soprattutto sotto il profilo giuridico, oltre che tecnico-informatico.
Per essere “compliant” rispetto alle norme del RGPD, non sarà più sufficiente adottare un approccio meramente formalistico che si traduceva, nella maggior parte dei casi, nella svogliata adozione delle misure minime di sicurezza di cui all’Allegato B (disciplinare tecnico, abrogato) del D.Lgs. 196/2003, nella redazione di informative e nomine a responsabili e incaricati e nell’acquisizione dei consensi degli interessati, ove necessario.
Nel “nuovo” scenario normativo infatti, che delinea un approccio di accountability, il Titolare del trattamento deve attuare tutte le misure di sicurezza in termini sì tecnologici, ma soprattutto organizzativi, adeguate a dimostrare (e documentare) di aver improntato i trattamenti di dati personali anche ai principi della privacy by design e alla privacy by default (a mero titolo esemplificativo: istituendo e alimentando correttamente il Registro dei trattamenti; verificando che l’archiviazione dei dati personali nelle banche dati del proprio ambiente lavorativo sia strutturata in modo idoneo e permetta anche di poter garantire agli interessati i diritti riconosciuti agli stessi dal RGPD, etc.).
In particolare, si consideri il fatto che gli enti locali detengono e gestiscono un ingente volume di informazioni di natura personale e ciò rende queste realtà, piccole o grandi che siano, un potenziale obiettivo dei cybercriminali. Una violazione della sicurezza dei dati può, difatti, avere degli effetti legali, economici e reputazionali devastanti per i soggetti interessati. Per questi motivi è preminente che i Titolari del trattamento si dotino di misure di sicurezza efficaci, al fine di preservare la riservatezza, l’integrità e la disponibilità dei dati, specie di quelli appartenenti a categorie particolari.