BLOG

Il nostro blog

Principio di accountability: cos'è e come si applica

Nel Regolamento generale sulla protezione dei dati personali (GDPR) in vigore in Europa dal maggio 2018 è stato introdotto il principio di accountability. Tale principio si colloca in un provvedimento normativo che, nel suo complesso, ha determinato un cambio di filosofia: il superamento di un approccio basato su adempimenti definiti da seguire, ora impostato invece sul concetto di responsabilizzazione sostanziale (accountability) del titolare del trattamento dei dati.

 

Accountability, definizione e significato secondo il GDPR

Il significato di accountability (traducibile letteralmente dall’inglese in “essere in grado di dar conto”) nel contesto del GDPR riguarda il sapere rispondere e rendere conto dei risultati ottenuti o di qualcosa che sia stato fatto, naturalmente in merito al trattamento dei dati personali. Volendo correlare il significato di accountability con quello di responsabilità (un concetto che potrebbe avvicinarsi al precedente ma ha connotazione diversa, soprattutto all’interno di questo regolamento), potremmo dire che con accountability si intende la dimostrazione di come è stata esercitata la responsabilità, viene cioè richiesta la possibilità di verificare in che modo ci si è comportati per essere conformi al regolamento.

Inoltre, nel GDPR vi è anche un’accezione di proattività nell’idea di accountability, ovvero si intende il saper agire in anticipo rispetto a qualcosa che potrà accadere in futuro, più nello specifico, aver pianificato, mediante policy e tecnologie efficaci, quanto necessario per evitare rischi di compromissione dei dati.

 

Principio di accountability:

3 fattori principali

Il presupposto fondamentale per poter ottemperare al principio di accountability è avere l’affidabilità e le competenze (oltre a giudizio e capacità decisionale), tali da poter gestire i dati personali in modo corretto e adeguato.

Fanno strettamente parte del concetto di accountability tre elementi principali.

  1. Prima di tutto la trasparenza. Ogni azienda deve offrire la garanzia di dare piena accessibilità alle informazioni di cui è in possesso.
  2. Il secondo fattore riguarda la capacità di illustrare azioni, scelte e comportamenti rispetto a tutti gli stakeholder di un’organizzazione.
  3. Infine, parte fondante del principio di accountability è la compliance specificatamente intesa come abilità di far rispettare leggi e regole di comportamento predefinite all’interno dell’organizzazione.

 

Per il principio di accountability il titolare ha i seguenti obblighi

Secondo il principio di accountability il titolare del trattamento dei dati, in qualsiasi momento glielo chiedano, deve essere in grado di dimostrare alle autorità competenti, da un lato, e ai proprietari dei dati, dall’altro, la compliance aziendale al GDPR.

Più nel particolare, secondo il principio di accountability, il titolare del trattamento dei dati ha il dovere di dimostrare di aver fatto tutto il possibile per proteggere i dati. Il fine del legislatore è far sì che ogni azienda abbia il pieno controllo su quanto si sta facendo e non si limiti a stabilire un piano per porre rimedio a qualcosa che potrà accadere.

Il titolare deve poi sapere spiegare e dimostrare l’efficacia delle misure adottate, illustrare le metodologie di sicurezza prescelte, in pratica, ha l’onere di dettagliare quel che è stato fatto per attenuare il più possibile i rischi. Questo significa enunciare il modello di privacy implementato e, in pratica, sapere quali tipologie di dati personali sono trattati e quali eventuali problemi comporta il loro trattamento; quali sistemi di autenticazione sono utilizzati; che misure tecniche e organizzative sono state prese per essere certi di usare solo i dati utili per le finalità di ogni servizio realizzato eccetera.

Così facendo risulta evidente che al principio di accountability sono strettamente legati quelli di privacy by design e privacy by default. Questi stabiliscono che i membri dell’organizzazione coinvolti nella progettazione di un servizio debbano tutelare la privacy dei proprietari dei dati sin dall’inizio, dalle fasi creative del servizio stesso, prevedendo quanto necessario per proteggere i diritti degli interessati. In secondo luogo, il principio di privacy by default sancisce che siano trattati solo i dati necessari e sufficienti per la finalità del trattamento ed esclusivamente per il periodo di attuazione del servizio.

Per concludere

Il principio di accountability si configura come uno dei pilastri del GDPR, limitarlo a concetto di responsabilità sarebbe riduttivo e si tradurrebbe in un approccio non conforme rispetto a quanto stabilito dal legislatore. È infatti compito del titolare del trattamento dei dati non solo dimostrare tutto ciò che è stato fatto per essere in linea con questi principi, ma adempiere a una responsabilizzazione proattiva, riuscendo a valutare e prevenire fattori di rischio e problematiche future, e pianificando di conseguenza le opportune azioni da mettere in campo.

New call-to-action

Topics: GDPR