top of page
Cerca

Il principio di accountability nel GDPR

Immagine del redattore: Redazione LexTech HubRedazione LexTech Hub

Aggiornamento: 5 feb


Data Protection Forum 2025
Data Protection Forum 2025
Nel panorama attuale, dove la gestione dei dati personali è cruciale per la fiducia digitale, il principio di accountability emerge come una pietra angolare del GDPR. Ma cosa significa davvero «responsabilizzazione» e come si traduce nella pratica quotidiana delle organizzazioni?

Il principio di accountability e la sua evoluzione 
Il principio viene enunciato all’articolo 5 par. 2 del GDPR: il termine accountability è traducibile in italiano con il termine «responsabilizzazione» e indica la necessità per il titolare del trattamento e del responsabile del trattamento non solo di conformarsi alla normativa, ma anche e soprattutto di rendere conto del proprio operato documentando le misure tecniche e organizzative adottate per raggiungere una protezione effettiva degli interessati. La responsabilizzazione, quindi, non è basata su un'unica serie di misure, ma deve essere commisurata alle specifiche circostanze del trattamento, come lo stato dell'arte e il contesto. Questo principio, già presente nelle Linee guida OCSE del 1980, ha visto un'evoluzione significativa con la Direttiva 95/46 che si basava su un approccio di conformità formale, rispetto al quale il GDPR segna il passaggio a una responsabilità sostanziale legata alle decisioni adottate dal titolare del trattamento e dal responsabile del trattamento, i quali vengono dunque responsabilizzati. 

Con il GDPR, la conformità non si limita alla semplice adozione di misure minime, ma richiede un’analisi e un’implementazione continua basata sull’evoluzione tecnologica. In Italia, con il GDPR e il seguente d.lgs 101/2018 che ha riformato il Codice Privacy, le misure minime di sicurezza della vecchia normativa previste agli artt. 33 34 sono state abrogate, ma possono comunque essere utilizzate come base di partenza, qualora non obsolete, non più come punto di partenza. Dunque, se da un lato con il GDPR titolari e responsabili del trattamento hanno maggiore libertà rispetto al passato nella scelta delle misure da implementare, potendo bilanciare le esigenze di tutela dei diritti e delle libertà degli interessati e di mitigazione del rischio con le proprie disponibilità economiche e con le dimensioni della propria organizzazione. Dall’altro, la maggiore discrezionalità nelle misure da adottare potrebbe portare a incertezze. In sintesi, il principio di accountability è legato alla fiducia e alla verifica del rispetto della normativa. Infatti, accrescere la responsabilizzazione dei soggetti che pongono in essere al trattamento contribuisce a ottenere trattamenti più sicuri e di conseguenza aumenta la fiducia degli interessati.

I principi e i criteri da considerare 
L'articolo 5 del GDPR enuncia i principi fondamentali per il trattamento dei dati personali. Il principio di accountability si inserisce nel contesto di altri principi chiave come:
  • la liceità;
  • la correttezza;
  • la trasparenza;
  • la limitazione delle finalità;
  • la minimizzazione dei dati;
  • l'esattezza;
  • la limitazione della conservazione;
  • l'integrità e la riservatezza.

Il titolare del trattamento deve adottare un comportamento proattivo, individuando e implementando le misure necessarie per garantire il rispetto del GDPR e per mitigare il rischio. Il GDPR, rispetto alla normativa precedente, non fornisce indicazioni specifiche, ma enuncia principi generali che consentono una maggiore flessibilità nell'adozione delle misure, che devono tuttavia tener conto dell’ambito applicativo, della natura, del contesto e delle finalità del trattamento, come indicato dall’articolo 24. Inoltre, il GDPR lascia spazio a una gestione basata sul rischio, dove ogni trattamento deve essere valutato per determinare le misure necessarie per mitigare il rischio per i diritti e le libertà degli interessati.

Privacy by design e privacy by default 
Questi principi, si inseriscono perfettamente nell'approccio proattivo richiesto dal GDPR, rafforzando la necessità di integrare la protezione dei dati fin dalle fasi iniziali del trattamento. Previsti dall’articolo 25, richiedono che la protezione dei dati sia integrata nel trattamento sin dalla fase di progettazione e come impostazioni predefinite per tutelare i diritti degli interessati. Implementare questi principi contribuisce a una maggiore consapevolezza e responsabilizzazione di chi effettua il trattamento.

Approccio basato sul rischio 
Il GDPR si fonda sul principio che non è possibile eliminare completamente il rischio per i diritti degli interessati, ma è necessario mitigarlo. Gli articoli 24 e 32 indicano l'importanza di una valutazione dei rischi associati al trattamento e di stabilire le misure necessarie per affrontarli. La valutazione del rischio è un passo fondamentale per determinare l'impatto del trattamento e se sia necessaria una valutazione di impatto sulla protezione dei dati, come previsto dall'articolo 35 del GDPR.

Quali sono gli ulteriori adempimenti che i titolari di un trattamento sono tenuti a porre in essere?
Il principio di accountability implica che il titolare del trattamento debba prendere misure concrete per garantire la conformità al GDPR.
Infatti, ai sensi dell’articolo 24 si legge quanto segue: «tenuto conto della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento. Dette misure sono riesaminate e aggiornate qualora necessario».

I titolari del trattamento, dunque, sono responsabili dell’identificazione e dell’implementazione delle misure tecniche e organizzative adeguate, commisurate al livello di rischio emergente dalla valutazione svolta e tenendo conto degli elementi presi in considerazione dall’articolo.

Dunque, in concreto, i titolari sono tenuti a:
  •  assicurarsi che ogni trattamento rispetti i principi di cui all'articolo 5.1;
  • definire ruoli e responsabilità all'interno dell'organizzazione;
  • redigere e aggiornare il registro delle attività di trattamento (articolo 30);
  • nominare il responsabile del trattamento e formare correttamente il personale;
  • fornire le informazioni richieste dagli articoli 13 e 14 agli interessati;
  • implementare misure di sicurezza adeguate ai sensi dell'articolo 32;
  • adottare codici di condotta e meccanismi di certificazione;
  • designare un responsabile per la protezione dei dati (DPO) quando richiesto;
  • notificare e comunicare eventuali violazioni dei dati (data breach).

L'importanza della dimostrazione della conformità emerge chiaramente, non essendo più solo una questione formale ma parte di un sistema di gestione dei dati personali che deve essere specifico e dimostrabile. In questo contesto, anche le organizzazioni di piccole dimensioni sono incoraggiate a mantenere un registro dei trattamenti.

L’accountability nella strategia europea 
Il principio di accountability non è un principio isolato, non si limita al GDPR, ma è esteso ad altre normative europee, come il Regolamento sull’intelligenza artificiale (AI Act) e il Regolamento sulla resilienza operativa digitale delle entità finanziarie (Dora). Questo spostamento di responsabilità verso le organizzazioni comporta significativi investimenti in risorse e consapevolezza per diventare conformi. Le normative sono accompagnate da sanzioni e dalla necessità di cooperare con le Autorità per garantire l'efficacia del sistema di protezione dei dati e dei servizi digitali. L'approccio europeo evidenzia come la conformità non debba essere vista come un quid pluris, ma come una necessità fondamentale per la creazione di un contesto sicuro e resiliente.

Se sei interessato ad approfondire le tematiche iscriviti al Data Protection Forum 2025!



 

19 visualizzazioni0 commenti

Post recenti

Mostra tutti

Comments


bottom of page