Il GDPR, ha segnato in Italia e in tutta Europa, una netta frattura con il precedente sistema legato alla protezione dei dati personali. Un cambio di rotta epocale che ha il proprio fulcro e motore nell’ormai celebre principio di accountability.
Il concetto, nella versione italiana del regolamento, è stato tradotto con il termine responsabilizzazione; occorre tuttavia sottolineare come tra questo termine e il corrispondente inglese sussista un certo scarto.
L’accountability, infatti, principio mutuato dal mondo della finanza e della revisione dei conti, oltrepassa il significato di responsabilità, alludendo ad un modus operandi più ampio e dinamico. Per capirlo basta sviscerare e analizzare il vocabolo nelle sue due componenti.
Il verbo to account è traducibile in italiano come “dare conto”. Il sostantivo “ability” invece può essere tradotto come “essere in grado di” o “avere attitudine a”.
Tenendo in considerazione questi due elementi approdiamo al termine di “rendicontabilità”.
Una parola che concretizza sufficientemente l’approccio che il legislatore europeo vuole trasmettere a tutti i soggetti coinvolti (responsabile e titolare in primis) nel trattamento dei dati personali.
Nella visione del GDPR, il titolare del trattamento non è chiamato al semplice adempimento normativo, ma ad adottare politiche e ad attuare misure adeguate per garantire, ed essere in grado di dimostrare, che il trattamento dei dati personali effettuato è conforme allo stesso Regolamento.
Questo implica un atteggiamento critico in relazione ad ogni singolo trattamento, una valutazione sempre personalizzata che tiene conto della natura, del campo di applicazione, del contesto, delle finalità e soprattutto dei rischi (di varia probabilità e gravità) per i diritti e le libertà delle persone fisiche.
Diretta conseguenza di questo approccio, based risk, sono i principi introdotti dall’art. 25: privacy by design e privacy by default.
Essi, infatti, possono considerarsi come un ulteriore sviluppo dell’accountability, nella misura in cui impongono ad aziende e pubbliche amministrazioni, di prevedere in anticipo gli strumenti corretti e le procedure adeguate per la tutela dei dati personali.
Il principio di privacy by design richiede di valutare da subito gli aspetti legati alla protezione dei dati a partire dalla fase di progettazione del sistema di trattamento, dando sempre priorità all’utente e alla tutela dei suoi dati attraverso misure di sicurezza come la pseudonimizzazione e la minimizzazione.
A sua volta il principio di privacy by default impone alle imprese di vincolare i trattamenti alle finalità previste con la conseguenza di raccogliere i dati in maniera non eccessiva, ma solo nella misura necessaria e di configurare i propri sistemi in modo che le impostazioni rispettino i principi introdotti dal regolamento .
E tu come ti stai approcciando al principio di accountability? Se senti il bisogno di confrontarti sulla validità e l’opportunità del tuo approccio basato sul rischio, non esitare a contattarci.