Un termine associato spesso al GDPR è quello di "accountabilty", equivalente inglese dell'italiano "responsabilizzazione". Cosa significa quindi che i titolari sono stati responsabilizzati? Di quali responsabilità si tratta?
Comprendere cosa si intende con questa espressione è fondamentale, poiché l'intera impostazione del Regolamento si basa su questo concetto, in un'ottica fortemente innovativa rispetto alla prospettiva del Codice Privacy: i singoli titolari sono ora chiamati in prima persona a decidere quale sia il modo migliore per applicare la disciplina del Regolamento nell'ambito dello specifico trattamento effettuato.
Intanto, il sistema introdotto dal GDPR è "risk-based". Inoltre, la valutazione di questi rischi per i diritti e le libertà degli interessati, così come generati dalle specifiche attività di trattamento di dati personali, è rimessa a ciascun titolare. Essi, quindi, sono responsabilizzati, in quanto la determinazione e l'adozione delle misure e delle procedure necessarie per assicurare l'applicazione corretta del Regolamento spetta direttamente a loro e non alla legge o all'Autorità Garante.
In forza di tale principio, infatti, ogni titolare è tenuto ad adottare dei comportamenti proattivi in grado di assicurare il rispetto del Regolamento: spetta ai titolari decidere autonomamente le modalità, le garanzie e i limiti da applicare per i trattamenti di dati personali effettuati.
Allora, per poter assicurare il rispetto del GDPR, i titolari (o i responsabili) dovranno ovviamente conoscere bene le disposizioni normative in esso contenute e capire cosa viene loro richiesto di fare. I titolari, però, dovranno ancora prima riconoscere e far propria la particolare concezione che sta alla base del Regolamento: secondo il GDPR, infatti, la privacy va vista come un sistema di gestione di tutte le attività svolte, da applicare in modo trasversale e complessivo ad ogni ramo e ad ogni settore di attività. Le imprese devono concepire la protezione dei dati personali come uno strumento che consente di acquisire know-how e competitività sul mercato.
Da questa prospettiva, la responsabilizzazione del titolare appare la naturale conseguenza: la protezione dei dati personali rappresenta infatti uno dei vari aspetti da regolare per gestire un'attività di impresa e spetta, quindi, al singolo imprenditore stabilirne le modalità, le garanzie e i limiti, sulla base della propria attività e della propria professionalità, facendosi carico dei rischi conseguenti a valutazioni erronee e a eventuali violazioni della normativa di riferimento.
Il Regolamento, ad ogni modo, introduce alcuni criteri che i titolari dovranno rispettare e che li potranno guidare nell'applicazione della disciplina, tra i quali rilevano, in particolare, quello definito con l'espressione inglese "privacy by default and by design" e quello del rischio inerente al trattamento (ovvero rischio di conseguenze negative e della possibilità di mitigarne l'impatto sui diritti degli interessati).
Il GDPR quindi parla di responsabilizzazione, perché le imprese sono chiamate ad analizzare attentamente le attività che comportano trattamento e circolazione di dati personali e, sulla base di tale valutazione, identificare i possibili rischi (secondo un approccio, appunto, basato sul rischio) per i diritti e le libertà delle persone coinvolte e, infine, predisporre le misure di sicurezza necessarie per porre in essere una reale protezione dei dati ed effettuare un trattamento lecito, sicuro e trasparente.
Punto di partenza è, in ogni caso, la considerazione che ciascuna attività ed ogni realtà professionale hanno le proprie caratteristiche e peculiarità anche in materia di protezione dei dati personali e di trattamenti effettuati. Di conseguenza, quali siano i rischi e quali le possibili strade per arginarli è una valutazione che va fatta caso per caso, sulla base delle specifiche attività svolte e delle tipologie di dati trattati, del contesto di riferimento in cui ciascuna azienda opera e dei soggetti coinvolti.
Va quindi esclusa radicalmente un'applicazione standardizzata e in serie del GDPR, in quanto ciascun trattamento richiede un'analisi a sé e la predisposizione di misure personalizzate.
E la necessaria accuratezza delle valutazioni rimesse in capo ai titolari si comprende facilmente: è vero, da un lato, che le imprese si trovano maggiormente libere di decidere se e quali forme di protezione devono porre in essere, dall'altro lato, tuttavia, l'assenza di riferimenti predeterminati fa sì che la correttezza delle attività di trattamento realizzate dipenda dalla correttezza delle valutazioni effettuate a monte dai medesimi titolari.
Connesso a quanto detto sopra è la diversa impostazione del ruolo spettante al Garante: i controlli effettuati dall'Autorità sono ora quasi esclusivamente "ex post", ovvero successivi rispetto alle scelte effettuate dai titolari ed al compimento delle operazioni di raccolta ed elaborazione dei dati. Rispetto alla normativa prevista dal nostro Codice della Privacy, di conseguenza, con il Regolamento vengono meno alcuni istituti di controllo preventivo da parte del Garante, come la notifica preventiva e la verifica preliminare. Con il GDPR simili procedure sono sostituite da meccanismi atti a consentire la verifica successiva della corretta attuazione della disciplina normativa, autonomamente svolta dai titolari: in questo senso, il Regolamento introduce, ad esempio, gli istituti della valutazione di impatto sulla protezione dei dati e del registro dei trattamenti, interamente di competenza del titolare e del responsabile.
In poche parole, viene rimesso ai titolari tutto il processo di tutela della privacy, che dovrà:
- fondarsi su un'analisi preventiva, precisa e approfondita;
- essere realizzato attraverso una serie di attività specifiche; e
- essere compiuto in modo tale da permettere ai titolari di dimostrare la correttezza delle determinazioni a tal fine assunte e delle misure di sicurezza predisposte e ritenute adeguate al rischio.
Le imprese sono così responsabilizzate: alla maggiore libertà di azione che viene loro attribuita, si accompagna la responsabilità per le scelte fatte e per l'attuazione o meno di una effettiva protezione dei diritti e delle libertà degli interessati.
Puoi trovare tutte le news sul GDPR in questa pagina speciale.
Per ricevere assistenza consulta il sito fclex.it