Il nuovo Regolamento Europeo GDPR, che sarà definitivamente applicabile in tutti i paesi UE a partire dal 25 maggio 2018, prevede numerosi adempimenti in materia di privacy che impongono una gestione particolarmente accurata.

Tra le principali novità troviamo il “principio dell’accountability” (responsabilizzazione nella traduzione italiana), alla luce del quale il Titolare viene identificato come soggetto competente a garantire il rispetto dei principi posti dalla nuova disciplina in tema di trattamento dei dati personali.

Ciò si evince chiaramente dall’art. 5 del GDPR secondo il quale il Titolare non solo deve garantire il rispetto dei principi di liceità, correttezza e trasparenza, limitazione delle finalità, minimizzazione, esattezza, limitazione della conservazione, integrità e riservatezza dei dati personali, ma deve anche essere in grado di “comprovarlo”.

È proprio questa la caratteristica del principio di “accountability”: il Titolare del trattamento deve essere in grado di dimostrare di avere adottato un processo complessivo di misure giuridiche, organizzative, tecniche, per la protezione dei dati personali, anche attraverso l’elaborazione di specifici modelli organizzativi. Deve quindi dimostrare in modo positivo e proattivo che i trattamenti di dati effettuati siano adeguati e conformi al regolamento europeo in materia di privacy.

Il concetto di “accountability” emerge con solare evidenza anche nell’art. 24 del regolamento, il quale prevede che il Titolare del trattamento debba mettere in atto, riesaminare ed aggiornare, misure tecniche ed organizzative adeguate, per garantire ed essere in grado di dimostrare che le operazioni di trattamento vengano effettuate in conformità alla nuova disciplina. Le misure da adottare vanno valutate di volta in volta, tenendo in considerazione una serie di elementi tra cui la natura, l’ambito di applicazione, il contesto e le finalità del trattamento, nonché i rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche.

La nuova disciplina dunque non prevede più una serie di “misure minime” da adottare né prevede un elenco tassativo di misure di sicurezza ma solo l’esemplificazione di misure adeguate da adottare a seconda dei risultati dell’analisi dei rischi e della valutazione d’impatto.

In applicazione del principio di accountability il GDPR prevede altresì l’obbligo di tenere un registro delle attività del trattamento dei dati personali, adempimento in parte simile al Documento Programmatico per la Sicurezza (D.P.S.) previsto fino al 2012 nel Codice della Privacy.

Detti registri vanno tenuti in forma scritta o anche in formato elettronico e il Regolamento prevede che debbano contenere “ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’articolo 32, paragrafo 1 [… ] Gli obblighi di cui ai paragrafi 1 e 2 non si applicano alle imprese o organizzazioni con meno di 250 dipendenti, a meno che il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell’interessato”.

La disposizione sopra richiamata prevede un’esenzione da tale adempimento per le sole piccole e medie imprese (PMI) mentre le pubbliche amministrazioni e le altre imprese medie e grandi ne saranno tutte soggette.

L’accountability è una pietra angolare del Regolamento e costituisce una delle principali sfide per pubbliche amministrazioni ed aziende: un notevole cambio culturale e di approccio nella gestione della protezione dei dati.

Si tratta infatti di una grande novità in quanto viene affidato ai Titolari il compito di decidere autonomamente le modalità, le garanzie e i limiti del trattamento dei dati personali – nel rispetto delle disposizioni normative e alla luce dei criteri indicati nel regolamento.

Il GDPR pone dunque con forza l’accento sulla “responsabilizzazione” del Titolare ossia, sull’adozione di comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione del regolamento, ciò al fine di responsabilizzare le imprese e le pubbliche amministrazioni e creare un nuovo rapporto di fiducia dei cittadini/consumatori nell’ottica dello sviluppo dell’economia digitale in tutto il mercato europeo.

 

Avv. Federica Spuri Nisi