GDPR, cos'è il principio di responsabilizzazione (o accountability)

Leggi questo articolo grazie alle donazioni di Andrea Castiglione, Lodovico Gottardi.
♥ Partecipa anche tu alle donazioni: sostieni SaggiaMente, sostieni le tue passioni!

Continuiamo con una serie di articoli sul GDPR, argomento molto caldo e che merita di essere analizzato da più punti di vista. Presto pubblicheremo un post su cosa fare nel caso in cui si voglia sapere come le aziende trattano i nostri dati, dalla loro raccolta alla loro distruzione, e come tentare di combattere il marketing selvaggio e sregolato. Questa volta, invece, proviamo a spiegare un concetto importante che non ha ricevuto la giusta attenzione: il principio di responsabilizzazione.

Venerdì scorso ho scritto una breve nota con qualche mio pensiero personale sul GDPR, il Regolamento Europeo sulla Protezione dei Dati Personali che tanto sta facendo discutere sul web per la confusione totale dovuta a pareri discordanti e, spesso, fantasiosi, sui principi da esso enunciati. Infatti, chiunque si sta improvvisando esperto di GDPR, proponendo soluzioni poco rispondenti alla normativa: dal webmaster al collega che sino al 24 maggio si occupava di divorzi, sembra che il 90% dei consigli diffusi non tenga ben presente il principio di accountability o di responsabilizzazione del Titolare del trattamento.

Cosa significa accountability, in soldoni?

La responsabilizzazione del Titolare del trattamento dei dati è uno dei principi cardine del GDPR: essendo il Regolamento palesemente di stampo anglosassone, non vi sono più degli obblighi minimi o delle misure di sicurezza minime da adottare per essere conformi alla norma, ma bisogna analizzare la propria attività ed i rischi ad essa connessi per poter capire quali possano essere le misure da adottare per prevenire la probabilità che un evento dannoso si verifichi. Insomma, per noi italiani, abituati alle imposizioni di obblighi e procedure minime da seguire pedissequamente, il GDPR potrebbe essere di difficile comprensione.

La responsabilizzazione può essere facilmente spiegata con due esempi che mi sono recentemente capitati nello svolgimento della mia professione, due casi che sembrano quasi essere presi da un libro di scuola. Il primo è costituito da una società multinazionale che produce ricambi per autovetture: come è facile intuire, la società non ha clienti persone fisiche, ma solo persone giuridiche. Paradossalmente, i problemi maggiori sono legati solo alla gestione dei dati dei propri dipendenti, nulla (o quasi) di più. Per questo, va da sé che le misure di sicurezza da adottare, le policy da implementare, le procedure di gestione del rischio e l'organigramma dei ruoli privacy da realizzare sono molto più facili da progettare che per il secondo caso, costituito da una piccola azienda di soli tre dipendenti con un database di 220.000 utenti persone fisiche da gestire, i cui dati erano stati raccolti in passato in maniera un po' troppo "leggera". In questo caso, le misure di sicurezza da adottare saranno molto più severe, il personale interno ed esterno all'azienda andrà formato con lezioni frontali, le policy e gli altri documenti dovranno essere realizzati quanto più dettagliatamente possibile.

Il Titolare del trattamento, quindi, dovrà necessariamente farsi affiancare da un professionista della protezione dei dati che possa aiutarlo a implementare un modello di gestione conforme alla sua attività, senza caricarlo di costi assurdi, ovviamente: è lo stesso Regolamento che vieta che si investano in privacy cifre troppo alte, così come impone che i consulenti siano esperti non solo di diritto, ma anche delle questioni tecnico-informatiche sottese alla protezione dei dati. Dunque, non ci possono essere avvocati matrimonialisti esperti di privacy, così come webmaster o programmatori esperti di diritto, né si può pensare di risolvere il tutto con l'uso di software che generano documenti di analisi del rischio e policy precompilati, non adattati, spesso, all'attività svolta dal Titolare. Occhio, quindi, alle soluzioni troppo economiche: se non rispettano l'accountability non siete a norma, cosa che, in caso di controlli, potrebbe portare a vicende ben più costose di una consulenza ad hoc.

Elio Franco

Editor - Sono un avvocato esperto in diritto delle nuove tecnologie, codice dell'amministrazione digitale, privacy e sicurezza informatica. Mi piace esplorare i nuovi rami del diritto che nascono in seguito all'evoluzione tecnologica. Patito di videogiochi, ne ho una pila ancora da finire per mancanza di tempo.

Commenti controllati Oltre a richiedere rispetto ed educazione, vi ricordiamo che tutti i commenti con un link entrano in coda di moderazione e possono passare diverse ore prima che un admin li attivi. Anche i punti senza uno spazio dopo possono essere considerati link causando lo stesso problema.