Il Principio di Accountability nel GDPR, art. 24

Il principio di Accountability è uno dei pilastri su sui si fonda il GDPR. È una vera novità introdotta dal Regolamento Europeo 2016/679.

Cosa vuol dire “Accountability”?

Accountability è un termine inglese che si sostanzia nell’obbligo di responsabilizzazione e rendicontazione in capo al Titolare ed al Responsabile del trattamento dei dati. Ciò che si chiede ai Titolari è l’adozione di comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione del regolamento.

Un’importante novità è la possibilità data ai Titolari ed ai Responsabili di decidere autonomamente le modalità, le garanzie e i limiti del trattamento dei dati personali, sempre nel rispetto delle disposizioni normative ed alla luce di alcuni criteri specifici indicati nel regolamento.

Gli elementi del principio Accountability sono la trasparenza, intesa come accessibilità alle informazioni per tutti coloro che ne abbiano interesse, la responsabilità di dover rendere conto delle scelte fatte, e la conformità alle norme in tema di privacy e protezione dei dati.

Cosa prevede il GDPR?

All’interno del GDPR troviamo il principio di accountability all’articolo 24, in tema di Responsabilità del Titolare del trattamento dei dati. Se vuoi conoscere meglio questa figura leggi il nostro articolo tutto dedicato al Titolare del trattamento.

In particolare l’articolo 24 si basa su due considerazioni, ovvero

  • L’opportunità di stabilire la Responsabilità generale del Titolare del trattamento per qualsiasi trattamento di dati personali che quest’ultimo abbia effettuato direttamente o che altri abbiano effettuato per suo conto. Il Titolare del trattamento dovrebbe essere tenuto a mettere in atto misure adeguate ed efficaci ed essere in grado di dimostrare la conformità delle attività di trattamento con il regolamento, compresa l’efficacia delle misure. Tali misure dovrebbero tener conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché del rischio per i diritti e le libertà delle persone fisiche.
  • La tutela dei diritti e delle libertà delle persone fisiche relativamente al trattamento dei dati personali richiede l’adozione di misure tecniche e organizzative adeguate per garantire il rispetto delle disposizioni del regolamento. Al fine di poter dimostrare la conformità con il regolamento, il titolare del trattamento dovrebbe adottare politiche interne e attuare misure che soddisfino i principi della protezione dei dati.

Le misure adottate dal Titolare potrebbero consistere nel:

  • Ridurre al minimo il trattamento dei dati personali.
  • Pseudonimizzare i dati personali il più presto possibile.
  • Offrire trasparenza per quanto riguarda le funzioni e il trattamento di dati personali.
  • Consentire all’interessato di controllare il trattamento dei dati.
  • Consentire al titolare del trattamento di creare e migliorare caratteristiche di sicurezza.

Sulla base di questi presupposti l’articolo 24 dispone che “Tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al regolamento. Dette misure sono riesaminate e aggiornate qualora necessario”.

Anche l’articolo 34 del GDPR rimarca il principio di Accountability in tema di “sicurezza del trattamento”, prevedendo che tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio.

La conseguenza è che il Titolare ed il Responsabile dovranno scegliere autonomamente in che modo mettere in sicurezza i Trattamenti.

Accountability non solo un principio ma approccio pratico alla privacy.

Il Titolare del Trattamento ed il Responsabile non devono più seguire in maniera “automatizzata” la normativa, come un elenco di misure da adottare, ma hanno la possibilità e la responsabilità di decidere e scegliere i mezzi che ritengono più opportuni per raggiungere le finalità stabilite dal Regolamento.

Devono essere altresì in grado di valutare lo stato della propria responsabilizzazione, e l’adeguatezza dell’operato, per renderne conto di fronte alle autorità garanti.

Per questo motivo si punta a sviluppare degli strumenti pratici e semplici, che possano essere utilizzati per prendere le adeguate decisioni e per valutare il proprio stato di adeguatezza alla normativa vigente.

Il principio di accountability coinvolge, pertanto, anche altri aspetti quali l’affidabilità e la competenza aziendale nella gestione dei dati personali. Come suggerito dal Garante, è conveniente iniziare il più presto possibile il percorso di adeguamento, partendo da un’efficacie formazione, con l’aiuto di professionisti preparati ed abili nell’aiutare il Titolare o il Responsabile nella scelta delle misure da adottare per garantire la sicurezza e l’adeguatezza dei Trattamenti.

Se hai bisogno di una consulenza che ti permetta di comprendere più a fondo il principio di Accountability, e così di attuarlo senza rischi, non esitare a contattarci.

Se l’articolo ti è piaciuto condividilo o lascia un commento.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *