top of page
Cerca
Amedeo Leone
7 novTempo di lettura: 3 min

Privacy - Il Principio di “Accountability”

Estratto da La privacy al centro: come costruire un percorso efficace con il cliente, di AMEDEO LEONE (Themis Edizioni, 2024)




Parliamo ora di uno dei principi cardine del REGOLAMENTO GENERALE

SULLA PROTEZIONE DEI DATI - Regolamento (UE) 2016/679 del Parlamento europeo

e del Consiglio del 27 aprile 2016 - ovvero l’accountability, termine inglese la cui traduzione approssimativa è la responsabilizzazione o meglio la rendicontazione del titolare del trattamento, che è colui che per definizione, stabilisce le modalità all’interno dei processi di trattamento. Va precisato che nella lingua inglese i termini responsabilità e accountability non sono perfettamente equivalenti: se il primo fa riferimento più al fatto di dover agire, il secondo indica il rendere conto dell’azione svolta (Aterno, 2018).


Si tratta comunque di un principio chiave che assegna al titolare del trattamento un ruolo cruciale. Questi infatti è tenuto a rendere conto del processo di trattamento dei dati personali, e ne è responsabile. Oltre all'adempimento delle normative sulla privacy, entra in gioco una nuova consapevolezza. Ed è proprio questo spirito a permeare tutti gli articoli del GDPR. 


Con il principio dell’accountability cambia quindi il modo di agire: il titolare è il garante per il rispetto dei principi e allo stesso tempo deve essere in grado di comprovarlo. In questo senso è proprio il testo normativo che lo cita all’art. 5 paragrafo 2: «Il titolare del trattamento è competente […] per il rispetto dei principi e deve essere in grado di comprovarlo». E al Considerando 74: «Il titolare del trattamento dovrebbe essere in grado di mettere in atto le misure adeguate ed efficaci ed essere in grado di dimostrare la conformità del trattamento con il presente (Regolamento)». 


Come dimostrare questa conformità? Producendo evidenze di carattere giuridico, come ad esempio il rispetto della base giuridica del trattamento; di carattere organizzativo, ad esempio la presenza di un organigramma privacy e di un adeguato piano di formazione del personale nei vari settori; evidenze di carattere tecnico per ottemperare alla sicurezza dei dati, con tutte le strumentazioni possibili. 


Il concetto di accountability trova espressione nei principi applicabili al trattamento (art. 5), delle condizioni di liceità del trattamento (art. 6), nella capacità del titolare di dimostrare di averli osservati, di aver rispettato il regolamento e attuato misure efficaci (art. 24).


Per cui il titolare del trattamento deve necessariamente:


  • Progettare tutte le possibili azioni utili al raggiungimento degli obiettivi fissati dal GDPR;

  • Realizzare il piano operativo dell’organizzazione;

  • Verificare che le azioni intraprese siano in linea con gli obiettivi prefissati e da raggiungere;

  • Monitorare e riesaminare gli obiettivi prefissati per verificare che siano stati raggiunti in maniera conforme.


Questa matrice rende bene l’idea di tutti gli obblighi in capo al titolare del trattamento, come deve agire e che cosa deve fare perché questo importante principio abbia la sua piena realizzazione nelle attività di privacy, o meglio di protezione del dato, all’interno dell’azienda, ente o studio professionale in questione.


Il Regolamento, pertanto, pone con forza l'accento sull’accountability dei titolari e responsabili che potrebbe riassumersi, come «l’adozione di comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l'applicazione del regolamento» (artt. 23-25, in particolare, e l'intero capo IV del Regolamento). In questo modo si può dire che viene affidato ai titolari il compito precipuo di decidere autonomamente le modalità, le garanzie e i limiti del trattamento dei dati personali – nel rispetto delle disposizioni normative e alla luce di alcuni criteri specifici indicati nel regolamento.


In termini pratici, è possibile individuare alcune azioni che aiutano a costruire un percorso conforme al principio di accountability, quali ad esempio la mappatura dei trattamenti dei dati personali, nonché delle misure tecniche e organizzative da adottare, la definizione di un organigramma privacy aziendale, la cura degli aspetti di informazione e comunicazione.


Ogni buon consulente, al di là del mero adempimento documentale, deve essere in primis consapevole del principio dell’accountability e della sua importanza, perché è proprio grazie a tale consapevolezza che è possibile trasferire l’importanza di questi concetti al cliente, rendendolo soggetto attivo nella costruzione del castello privacy. Sarà infatti il cliente a dover implementare e adottare tutte le misure necessarie, connesse a tale principio, dimostrando così di essere responsabilmente il garante delle evidenze tecniche, giuridiche e organizzative che deve porre in essere ogni qualvolta si inizi un discorso di compliance, cioè di adeguamento alle regole, come a me piace definirla, “ragionata”. 



Estratto da La privacy al centro: come costruire un percorso efficace con il cliente, di AMEDEO LEONE (Themis Edizioni, 2024).



Disponibile nei maggiori store online.

Non sai da dove cominciare?

Parla con un nostro consulente

bottom of page