La verità, vi spieghiamo, sul principio di accountability, con cui il legislatore europeo ha voluto garantire il massimo rispetto delle regole di trasparenza e correttezza nell'utilizzo dei dati personali, imponendo misure organizzative adeguate conformi al Regolamento Europeo.
Il termine anglosassone “accountability” non è facilmente traducibile e, difatti, nella versione italiana del Regolamento europeo si parla impropriamente di “responsabilizzazione”. Ma il termine più corretto (anche se poco pratico) sarebbe essere quello di un obbligo di “rendicontazione” da parte del titolare del trattamento.
Il principio di accountability - Un po’ di storia…
Il concetto di accountability coinvolge aspetti quali l’affidabilità e la competenza aziendale del titolare del trattamenti nella gestione dei dati personali ed è stato oggetto di particolari attenzioni fin dalla 32ª Conferenza Internazionale sulla Protezione dei Dati Personali tenutasi a Gerusalemme nell’ottobre 2010.
Tale concetto fu originariamente elaborato per favorire il flusso di dati personali a livello internazionale, ma può - senza dubbi - avere un’applicazione più ampia, finendo col rappresentare un paradigma più generale nel trattamento dei dati personali.
Nel 2012, quindi, il principio di accountability è stato finalmente affermato come elemento fondamentale della disciplina della privacy e della protezione dei dati, fino a ottenere un riconoscimento definitivo con il Regolamento UE 2016/679. In virtù del principio di accountability, il Regolamento dispone, difatti, che il titolare del trattamento debba adottare politiche e misure adeguate per garantire (ed essere in grado di dimostrare) che il trattamento dei dati personali sia conforme a quanto disposto dallo stesso Regolamento.
Il principio di accountability - Un nuovo approccio pratico
Tuttavia, quando si parla di accountability parliamo di un principio nuovo che non è profondamente radicato nella tradizione giuridica europea. Si può dire, infatti, che con esso viene stravolto l’approccio tradizionalmente adottato dalla normativa in materia di protezione dei dati.
In particolare, il GDPR recepisce tale principio all’art. 24, richiedendo al titolare del trattamento (tenuto conto della natura, del campo di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi di varia probabilità e gravità per i diritti e le libertà delle persone fisiche) di mettere in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, la conformità al Regolamento del trattamento di dati personali.
Il principio di accountability è, quindi, considerato come un approccio pratico alla privacy e al trattamento dei dati personali.
A quanto poi si evince dalla lettura del considerando 74 e del sopracitato art. 24 del GDPR le misure di sicurezza possono, per esempio, dirsi adeguate quando tengono conto delle specifiche circostanze in cui avviene il trattamento. Pertanto occorre accertare l’idoneità delle stesse caso per caso, tenendo conto della natura, del campo di applicazione, del contesto, delle finalità del trattamento e del rischio per i diritti e le libertà delle persone.
Il principio di accountability - Due accezioni fondamentali
Il termine “accountability” richiama almeno due accezioni o componenti fondamentali: da un lato il dar conto, in modo esaustivo e comprensibile, a terzi (e in particolare all’insieme di stakeholder) del corretto utilizzo delle risorse e della produzione di risultati in linea con gli scopi istituzionali; dall’altro, l’esigenza di introdurre logiche e meccanismi di maggiore responsabilizzazione interna alle aziende e alle reti di aziende nell’impiego di tali risorse e alla produzione dei correlati risultati.
L’accountability si compone, in linea generale, di almeno tre elementi:
la “trasparenza”, intesa come garanzia della completa accessibilità alle informazioni, in primo luogo per i cittadini (anche in quanto utenti del servizio);
la “responsività”, intesa come la capacità di rendere conto di scelte, comportamenti e azioni e di rispondere alle questioni poste dagli stakeholder.
la “compliance”, intesa come capacità di far rispettare le norme, sia nel senso di finalizzare l’azione pubblica all’obiettivo stabilito nelle leggi (nel senso di fare osservare le regole di comportamento degli operatori della PA).
Il concetto di accountability, sempre in merito alla privacy, non si risolve quindi nella mera responsabilità, ma coinvolge aspetti quali l’affidabilità e la competenza aziendale nella gestione dei dati personali.
Come si è avuto modo di vedere sopra, il concetto di accountability è frutto di un approccio pratico alla privacy e al trattamento dei dati personali. Le organizzazioni devono pertanto valutare lo stato della propria accountability e per dimostrare ciò alle Autorità Garanti per la protezione dei dati personali dei diversi Paesi Membri.
In conclusione, il titolare del trattamento deve, in osservanza del principio di accountability, oggi essere in grado di rappresentare ai terzi la conformità alla normativa applicabile, sotto un profilo organizzativo, giuridico e tecnico, dei propri processi aziendali incentrati sul trattamento di dati personali.