Tutti coloro che si sono trovati ad aver a che fare con la privacy e quindi con il GDPR, prima o poi si sono imbattuti nel termine di accountability.

L’accountability nel GDPR (General Data Protection Regulation) è uno dei fondamenti della materia, poiché mira a rendere le organizzazioni responsabili per la protezione dei dati personali.

Si tratta di una grande novità per la privacy in quanto viene affidato ai titolari il compito di decidere autonomamente le modalità, le garanzie e i limiti del trattamento dei dati personali, nel rispetto delle disposizioni normative e alla luce di alcuni criteri specifici indicati nel regolamento medesimo.

E’ uno dei pilastri del GDPR

Il principio di accountability è volto a superare il concetto meramente burocratico di trattamento del dato personale: il titolare del trattamento deve essere in grado di dimostrare che ogni decisione che prende è in linea con i principi stabiliti dal GDPR.

Il principio di fondo dal quale origina l’accountability, traducibile suppergiù con responsabilizzazione, è quello per cui i dati sono di proprietà dell’interessato. E tali restano anche quando l’interessato decide di concederli ad un’azienda o un’ente per trattarli per una precisa finalità.

Ne consegue che il titolare del trattamento dati ha la responsabilità di proteggerli e trattarli “responsabilimente” nel rispetto della normativa, dato che gestisce un bene di proprietà di terzi. Questo principio impone alle aziende di dimostrare la loro conformità al GDPR, anziché semplicemente rispettarlo.

Insomma il principio di accountability (responsabilità) nel GDPR è un concetto che sottolinea l’obbligo, da parte dei titolari del trattamento, di spiegare e giustificare il proprio comportamento per adempiere agli obblighi previsti dalla normativa in materia di privacy e trattamento dei dati personali.

É ricavabile dagli articoli 5 e 25 del Regolamento:

  • l’articolo 5 del GDPR stabilisce la responsabilità del titolare del trattamento come garante del fatto che il trattamento dei dati personali sia effettuato in conformità con il GDPR;

  • l’articolo 25 del GDPR riguardo al principio di accountability stabilisce l’obbligo per il titolare del trattamento e il responsabile del trattamento di adottare misure tecniche e organizzative adeguate a proteggere i dati.

Accountability tutta da dimostrare: la documentazione necessaria

Ne consegue che le organizzazioni devono preparare e mantenere documentazione adeguata sulle proprie attività di elaborazione dei dati, comprese le misure di sicurezza adottate per proteggere i dati personali. La documentazione della conformità al GDPR è un elemento cruciale per garantire la corretta attuazione del principio di accountability.

Per cominciare, è necessario che le aziende comprendano a fondo il GDPR e i suoi requisiti, al fine di poter implementare le opportune misure per garantirne la conformità. Una volta identificate le informazioni personali che vengono elaborate, è necessario valutare i rischi per i diritti e le libertà degli interessati e adottare le misure adeguate per prevenire tali rischi.

Questo processo di valutazione dei rischi dovrebbe essere documentato in modo adeguato. Oltre a ciò, questa documentazione dovrebbe comprendere anche la descrizione delle categorie di dati personali che vengono elaborate, il periodo di conservazione dei dati, la descrizione delle categorie di destinatari dei dati e i dettagli sulle eventuali trasferte di dati verso paesi al di fuori dell’Unione Europea.

Alcuni esempi:

  • Lettere di incarico e mansionari

  • Manuale del dipendente

  • Contratto comodato d’uso apparecchiature informatiche

  • Contratti di nomina Responsabili esterni

  • Contratti di nomina Contitolari del trattamento

  • Registro dei trattamenti in qualità di Titolare

  • Registro dei trattamenti in qualità di Responsabile esterno

  • Valutazione di impatto sulla protezione dei dati (DPIA)

Quali dati trattare e come:

Essere accountable significa mettere in atto un altro principio cardine del GDPR, la privacy by default.

Vanno trattati solo i dati necessari per il raggiungimento delle finalità, e per il tempo strettamente necessario ad espletarle.

Ad esempio: non puoi utilizzare l’indirizzo di spedizione di un cliente che hai acquisito per spedire un pacco, anche per mandargli dei volantini di marketing per posta, perché stai andando oltre la finalità per cui hai trattato il dato.

Il principio alla base delle modalità di trattamento dei dati è la trasparenza a favore dell’interessato del trattamento, che deve aver modo di gestire i suoi dati con la massima facilità .

Da un lato il titolare del trattamento risponde per conto del responsabile che non è GDPR compliant. Ma lo stesso responsabile del trattamento risponde per proprio conto in base al principio di accountability.

Analisi del rischio e scelta degli strumenti per il trattamento e la cancellazione dei dati:

Altro principio che entra in gioco è quello della privacy by design: la struttura aziendale deve essere adeguata a tutelare i dati trattati.

Quale cookie banner mettere sul sito. I plugin che metti sul sito, il CRM che utilizzi, sono a norma di GDPR? Tutte queste decisioni sono di responsabilità del titolare del trattamento, non può delegarle al webmaster, ad esempio.

Dove sono conservati dati? Vengono trattati anche dati particolari? In questo caso l’attenzione deve essere maggiore.

In tutte queste decisioni il titolare del trattamento può essere coadiuvato dal DPO che non solo, grazie alla formazione specifica, è in grado di scegliere gli strumenti giusti per far sì che l’azienda sia GDPR compliant, ma ha anche il compito di formare il personale interno.

Accountability: differenze tra il GDPR e la vecchia normativa italiana privacy

Il d. lgs. n. 196/2003, noto come “Codice in materia di protezione dei dati personali”, era il precedente regolamento privacy italiano che regolamentava il trattamento dei dati personali prima dell’entrata in vigore del GDPR.

Il Codice prevedeva il concetto di “responsabilità del titolare” del trattamento dei dati, che implicava che il titolare fosse responsabile della protezione dei dati che trattava. Tuttavia, questo principio di responsabilità era meno formalizzato e meno rigoroso rispetto al principio di accountability previsto dal GDPR. In sintesi, mentre il vecchio regolamento italiano prevedeva il principio di responsabilità, il GDPR ha introdotto il principio di accountability, che è più rigoroso e formalizzato.

Ricordiamo infatti che l’entrata in vigore del GDPR non ha portato all’abrogazione del d. lgs. n. 196/2003, ma solo di alcune parti. Con il Decreto 101/2018 l’Italia ha integrato il Codice di protezione dei dati personali con la normativa europea.