Il principio di accountability nel GDPR

Uno dei principi su cui si basa il il Regolamento Europeo 2016/679 è l’accountability.
La locuzione non è facilmente traducibile in italiano, ma viene generalmente resa con il termine “responsabilizzazione”.
L’introduzione dell’accountability in un testo normativo mirato alla tutela dei dati personali costituisce a tutti gli effetti una novità del GDPR.

Va però rilevato come di accountability in relazione alla privacy si parlasse già nel 2010.

Il Gruppo di lavoro art. 29 (il gruppo di lavoro europeo indipendente che, fino al 25 maggio del 2018 aveva lo scopo di occuparsi di questioni relative alla protezione della vita privata e dei dati personali), dedica un interessante documento al concetto: il Parere del 13 luglio 2010 (3/2010).

La storia dell’accountability

Il punto di partenza del contributo è la convinzione che sia auspicabile staccarsi dall’approccio tradizionalmente utilizzato nella redazione delle norme poste a presidio della tutela dei dati personali, costituito dall’obbligo di adottare una serie di misure minime di sicurezza, imposto a tutti i Titolari del trattamento.

Si rileva come questa ottica sia divenuta, nel tempo, inefficace a proteggere i dati. Le principali ragioni poste alla base dell’osservazione sono: il cosiddetto “effetto diluvio” dei dati (il continuo aumento della quantità dei dati personali raccolti, elaborati, trasferiti e diffusi) e il loro sempre crescente valore economico e sociale.

La crescita esponenziale della quantità e del valore dei dati comporta un altrettanto importante aumento delle conseguenze negative della violazione della loro riservatezza, sia nei confronti delle persone a cui le informazioni violate si riferiscono (gli “interessati”) sia in capo ai Titolari del trattamento. Questi ultimi, infatti, non solo soffrirebbero perdite economiche dirette, ma vedrebbero anche compromessa la loro reputazione.

Da ciò si evince – continua il Gruppo – come sia nell’interesse proprio di ciascun Titolare attuare un sistema di protezione dei dati personali che non sia la pedissequa riproduzione di una lista di misure uguali per tutti, ma che garantisca la sicurezza reale e concreta dei dati trattati all’interno del suo perimetro di competenza.

La funzione dell’accountability

E’ essenziale, dunque, abbandonare l’approccio “one size fits all” in favore del “risk-based approach”, che attribuisce ai Titolari la responsabilità (l’accountability, appunto) di individuare e attuare, tra tutti quelli disponibili, gli strumenti pratici più idonei alla protezione dei dati all’interno della loro struttura.

La scelta deve essere ispirata a due criteri-guida:
1) l’analisi del rischio inerente ai trattamenti eseguiti (le dimensioni delle operazioni di trattamento, gli obiettivi dello stesso e il numero di trasferimenti di dati) e
2) la tipologia di dati coinvolti (in particolare se si tratti o meno di dati dal contenuto particolarmente sensibile come, ad esempio, quelli relativi alle opinioni politiche, alle convinzioni religiose, all’appartenenza sindacale, i dati genetici, quelli biometrici intesi a identificare in modo univoco una persona…).

La duplice natura dell’accountability

Ma l’accountability, nei termini in cui è stata inserita nel GDPR, presenta un ulteriore aspetto, che ha natura probatoria.

Non solo il Titolare ha l’onere di costruire un “sistema privacy” efficace, ma deve anche essere in grado di dimostrare di averlo fatto, in caso di ispezione dell’autorità competente. Detto altrimenti: egli deve sempre essere in grado di fornire la prova inequivocabile di quanto intrapreso per tutelare i dati personali.

A fronte di ciò si ritiene che la locuzione “accountability” possa essere intesa, oltre che come una “responsabilizzazione” anche come un “obbligo di rendere conto”.