Il principio di accountability è stato introdotto nel Regolamento europeo 679/2016, il cosiddetto GDPR (General Data Protection Regulation) entrato in vigore in Europa a partire dal maggio 2018 e recepito in Italia dal D.Lgs. 101/2018, che disciplina il trattamento dei dati personali. L’accountability si colloca in un quadro normativo che, nel suo complesso, ha determinato il superamento di un approccio precedente basato soltanto sugli adempimenti da seguire, per abbracciare invece un concetto di responsabilizzazione sostanziale (accountability) che investe soprattutto il titolare del trattamento dei dati.
Accountability, cos’è
Il significato di accountability (traducibile letteralmente dall’inglese in “essere in grado di dar conto”) nel contesto del GDPR riguarda il sapere rispondere e rendere conto dei risultati ottenuti o di quanto sia stato fatto in merito al trattamento dei dati personali. Alla domanda “Accountability, cos’è”, si può rispondere quindi correlando la nozione di accountability a quella di responsabilità. Con una particolare declinazione in cui la responsabilità va intesa come la dimostrazione di come sia stata esercitata concretamente e perciò implica la possibilità di verificare in che modo ci si è comportati per essere compliant al regolamento. Inoltre, sempre con riferimento al quesito su che cos’è l’accountability, la risposta porta con sé l’idea di proattività, cioè quella di saper agire in anticipo rispetto a qualcosa che potrà accadere in futuro. Nello specifico, l’accountability prevede la capacità di aver pianificato, mediante policy e tecnologie efficaci, quanto necessario per evitare rischi di compromissione dei dati.
I 3 fattori chiave dell’accountability
Nell’accountability, i presupposti fondamentali sono l’affidabilità e le competenze (oltre a giudizio e capacità decisionale), tali da poter gestire i dati personali in modo corretto e adeguato.
A tale scopo, il principio di accountability poggia su 3 elementi chiave:
- Prima di tutto la trasparenza. Ogni azienda deve offrire la garanzia di una piena accessibilità alle informazioni di cui è in possesso.
- Il secondo fattore riguarda la capacità di illustrare azioni, scelte e comportamenti nei confronti di tutti gli stakeholder dell’organizzazione.
- Infine, il terzo fattore dell’accountability è la compliance, vale a dire la capacità di far rispettare leggi e regole di comportamento predefinite all’interno dell’organizzazione.
Accountability: gli obblighi del titolare
In base al principio di accountability, il titolare del trattamento dei dati deve essere in grado di dimostrare alle autorità competenti, da un lato, e ai proprietari dei dati, dall’altro, la compliance aziendale al GDPR. Più in dettaglio, ha il dovere di provare in maniera circostanziata di aver fatto tutto il possibile per proteggere i dati. Il titolare, in pratica, deve essere in grado di spiegare l’efficacia delle misure adottate e di illustrare le metodologie di sicurezza prescelte. Il che corrisponde all’enunciazione del modello di privacy implementato, nonché all’identificazione delle tipologie di dati personali trattati e agli eventuali problemi suscitati dal loro trattamento. A ciò si aggiunge l’elencazione dei sistemi di autenticazione e cifrature utilizzati, insieme alle misure tecniche e organizzative adottate per essere certi di utilizzare i dati esclusivamente per le finalità connesse a ciascun servizio offerto.
Privacy by design/by default e accountability
Riguardo al modello di privacy implementato, va fatta una considerazione finale. Poiché l’accountability rappresenta uno dei pilastri del GDPR, risulta strettamente legato ai principi di privacy by design e privacy by default, caposaldi entrambi del regolamento. Il primo stabilisce che i membri dell’organizzazione coinvolti nella progettazione di un servizio debbano tutelare la privacy dei proprietari dei dati sin dall’inizio, cioè sin dalle fasi di ideazione del servizio. Il secondo sancisce che debbano essere trattati solo i dati necessari e sufficienti per la finalità del trattamento ed esclusivamente per il periodo di attuazione del servizio. L’accountability, quindi, si colloca a fondamento sia della progettazione sia della definizione del perimetro in cui ricadono gli obblighi del titolare del trattamento.
Per conoscere quali sono le altre figure, oltre al titolare del trattamento, previste nel regolamento GDPR, leggi anche questo post che spiega in dettaglio come adeguarsi alla normativa.
