Accountability è il principio introdotto dal GDPR, che rivoluziona l’organizzazione delle imprese in merito al trattamento dei dati personali.
Il termine “accountability” in italiano è stato tradotto con l’espressione “principio di responsabilizzazione e rendicontazione”. Infatti “accountability” deriva da “to account”, cioè “render conto di” e “ability”, è la “capacità di”.
Questo principio rappresenta una vera e propria pietra miliare nel modo in cui le organizzazioni gestiscono i dati personali, spostando l’accento dalla semplice conformità a regole predefinite verso una responsabilità attiva e dimostrabile nella protezione dei dati.
L’accountability nel GDPR non si limita a garantire il rispetto delle norme, ma richiede alle organizzazioni di implementare un approccio proattivo, sistematico e documentato per assicurare la privacy dei dati. Questo implica non solo l’adozione di misure tecniche e organizzative adeguate, ma anche una continua valutazione e aggiornamento di queste misure in risposta a nuovi rischi e sfide.
In questo contesto, l’organizzazione aziendale si trova di fronte a una rinnovata sfida: integrare l’accountability come principio guida nella gestione dei dati personali. Questo articolo esplora come l’adozione del principio di accountability ai sensi del GDPR stia trasformando il tessuto organizzativo delle imprese, imponendo una cultura della privacy che influisce su ogni aspetto della gestione dei dati.
CONTENUTO DELL'ARTICOLO
Cos’è il principio di accountability stabilito dal GDPR?
Il termine accountability spesso si riferisce a discipline come la politica e la finanza, ma il Regolamento Europeo lo introduce come uno dei principi cardine del trattamento dei dati personali.
Il termine inglese “accountabillity GDPR” significa “operare con responsabilizzazione e dare prova di essere GDPR compliant”.
A chi si rivolge il principio di accoutability?
Gli obblighi derivanti dal principio di responsabilizzazione hanno come destinatari il titolare del trattamento dei dati, cioè il soggetto che decide quali dati trattare, con quali finalità e con quali modalità; e il responsabile del trattamento, cioè colui che tratta i dati per conto del titolare.
Perché il principio di accountability GDPR è rivoluzionario?
Perché consente di passare da una tutela meramente formale della privacy, ad una tutela concreta ed effettiva.
Il principio di accountability attribuisce al titolare del trattamento un ruolo attivo e proattivo nel trattamento dei dati.
Ricordiamo cos’è la privacy in breve: è il diritto del soggetto i cui dati sono trattati, chiamato interessato al trattamento, di sapere quali sono i dati trattati e con quali finalità, e il diritto di chiederne la modifica, la cancellazione e la portabilità. Affinché questo diritto sia effettivo l’accesso ai dati personali che il soggetto ha rilasciato, deve essere semplificato al massimo. Ecco che l’obbligo corrispondente a carico del titolare del trattamento è quello di agire con la massima trasparenza e rendere il più possibile agevole l’accesso ai dati. Concetti che sono insiti nel principio di accountability.
Il Regolamento Europeo vuole dare una tutela concreta ed effettiva ai dati personali. Il diritto alla privacy, con riferimento alla protezione dei dati personali, esisteva anche prima del 2016, anno in cui è stato approvato il GDPR. Ma sia gli interessati al trattamento sia i titolari del trattamento ne avevano poca consapevolezza.
I soggetti “accountable” sono:
- autonomi nelle decisioni che prendono in merito al trattamento dati. Che non significa che sono soli: il titolare del trattamento può sempre nominare un DPO anche quando non è obbligatorio;
- rispondono direttamente delle decisioni prese;
- hanno l’obbligo di rendicontazione. Quindi devono dimostrare di aver agito in conformità al Regolamento, e che le misure intraprese sono efficaci per tutelare i dati.
Qual è la finalità del principio dell’accountability?
Il GDPR nasce da un confronto con le leggi sulla privacy precedentemente in vigore e ne vuole colmare le lacune. L’obiettivo è far sì che la privacy diventi un diritto che non è solo una formalità ma è concreto.
Per far questo il Regolamento agisce su due fronti: rendere l’interessato consapevole dei propri diritti permettendogli di esercitarli nella maniera più facilitata possibile, e rendere il titolare responsabile di ogni decisione che prende.
Il principio di accountability è volto a superare il concetto meramente burocratico di trattamento del dato personale: il titolare del trattamento deve essere in grado di dimostrare che ogni decisione che prende è in linea con i principi stabiliti dal GDPR. A partire dal momento in cui programma di trattare un dato, fino alla modalità con cui lo tratta e come lo cancella.
Oggi, che sono passati più di due anni dall’attuazione del Regolamento Europeo in Italia, molti imprenditori non sono ancora consapevoli di cosa significa trattare i dati. I numerosi data breach segnalati sono la prova di come ancora sia superficiale il concetto di tutela dei dati.
E il recente lock-down con conseguente spostamento di molti dati dall’offline all’online per lo smart working è l’ennesima dimostrazione: i dati personali vengono trasferiti da un device all’altro senza un minimo di tutela.
Essere responsabili significa che gli obblighi legati all’essere GDPR compliant non si fermano alla mera burocrazia: non basta avere la cookie policy sul sito, non basta avere la privacy policy e il registro del trattamento.
Essere accountable significa avere un mindset predisposto a trattare i dati secondo i principi stabiliti dal Regolamento Europeo.
L’Impatto dell’accountability sull’organizzazione aziendale
L’introduzione del principio di accountability comporta una trasformazione culturale e operativa in ambito azinedale. L’accountability sancita dal GDPR non è solo una serie di azioni di conformità, ma rappresenta un cambiamento olistico nell’approccio alla gestione dei dati personali, che influisce significativamente sulla cultura e sulle operazioni aziendali.
L’integrazione del principio di accountability, come delineato nel GDPR, implica un profondo ripensamento delle strategie aziendali in relazione alla gestione dei dati personali. Questo cambiamento non si limita alla mera adozione di nuove procedure, ma richiede una vera e propria trasformazione culturale che coinvolge ogni livello dell’organizzazione.
L’adozione di questo principio comporta la necessità di una governance più rigorosa dei dati. Le aziende sono chiamate a istituire meccanismi interni per garantire che ogni azione compiuta in relazione ai dati personali sia tracciabile e giustificabile. Questo include la revisione delle politiche di privacy, l’introduzione di valutazioni regolari del rischio e l’aggiornamento continuo delle pratiche in risposta ai cambiamenti tecnologici e normativi.
Un aspetto fondamentale dell’accountability è la trasparenza. Le imprese devono essere in grado di dimostrare in ogni momento come stanno gestendo i dati e assicurare che le loro pratiche siano in linea con le aspettative dei clienti e le normative vigenti. Ciò richiede un dialogo aperto e costante con i clienti e gli stakeholder, oltre alla realizzazione di sistemi interni che facilitino questa comunicazione.
Inoltre, la formazione e la sensibilizzazione del personale giocano un ruolo cruciale. Ogni membro dell’organizzazione, dalla leadership al personale operativo, deve comprendere l’importanza del rispetto del GDPR e il proprio ruolo nell’assicurare la conformità.
I requisiti soggettivi dell’accountability GDPR
Per rispettare il principio di accountability sono necessari 3 presupposti:
Consapevolezza del trattamento
Ad oggi le piccole medie-imprese, non si rendono conto che avere anche un solo dipendente significa trattare i dati. Si pensa che il Regolamento Europeo riguardi solo le grandi imprese. Invece riguarda tutti, anche se per le piccole imprese gli adempimenti sono alleggeriti. Ma anche mandare un messaggio su whatsapp al proprio cliente per dire che c’è una promo in corso, significa trattare i dati! Quindi siamo ancora nella fase di capire cosa significa trattare i dati.
Come fai a fare una Valutazione del Rischio se non sei cosciente del fatto che anche fare una busta paga significa trattare dati?
Formazione
I dati personali che scorrono nei database delle aziende sono in continua evoluzione. Ogni giorno nelle imprese si fanno selezioni, assunzioni, cessano i rapporti di lavoro. Tutto questo incide sul trattamento dati: inserimento di nuovi dipendenti, cancellazione dei dati degli ex-dipendenti ed eventuale gestione della loro e-mail aziendale.
Ma non solo: le strategie di marketing sono sempre più evolute, si passa dal volantino generico all’e-mail marketing, alle ads su Facebook. Quindi si passa dall’anonimato alla profilazione degli utenti.
Quindi il flusso di dati personali che tratta ogni azienda è in continuo aggiornamento. Se non si ha una minima formazione su come vanno trattati i dati, difficilmente si può essere a norma di legge.
La stessa tenuta del Registro del Trattamento richiede una formazione, altrimenti non si sarà in grado di aggiornarlo correttamente.
Non dimentichiamo che l’attività svolta per essere GDPR compliant va dimostrata: per avere la capacità di esporre correttamente la propria attività di fronte ad un’eventuale richiesta di rendicontazione, bisogna essere consapevoli e formati su quali dati si stanno trattando e come.
Responsabilità
Significa rispondere delle decisioni prese e delle azioni intraprese in ogni fase del trattamento, comprese quelle adottate in un eventuale data breach.
La responsabilità parte con la prevenzione.
Obiettivo del GDPR è ridurre al minimo i rischi di violazione dei dati. E poiché un minimo di rischio è già insito nel trattamento, l’unico modo per dare effettività alla tutela è la prevenzione.
La prevenzione inizia già nel momento in cui si decide di trattare i dati, quali trattare e come farlo.
Ma non basta: il titolare del trattamento ha anche la responsabilità di scegliere chi tratterà i dati. Il titolare del trattamento ha il compito di accertarsi che un eventuale responsabile del trattamento, sia in grado di trattare i dati nel rispetto del GDPR. Quindi anche il responsabile del trattamento deve essere GDPR compliant.
Esempio pratico: l’imprenditore affida le proprie campagne di e-mail marketing ad un marketer. L’imprenditore è titolare del trattamento e il marketer è responsabile del trattamento dati degli utenti. Quindi l’imprenditore deve nominare formalmente il marketer come responsabile del trattamento e deve accertarsi che oltre ad essere bravo nel suo lavoro, sia capace anche di trattare i dati in linea con il Regolamento europeo. Quindi non deve trattare i dati per altre finalità oltre l’e-mail marketing. Deve proteggere i dati in suo possesso.
Quali obblighi derivano dall’accountability?
Come dicevamo il principio di accountability è la base di ogni azione e decisione del titolare e del responsabile del trattamento, quindi è alla base di ogni attività che coinvolge il trattamento di dati personali.
I soggetti devono prendere ogni decisione tenendo conto dei rischi connessi all’attività svolta.
Vediamo quindi quali sono i momenti salienti in cui l’imprenditore nell’organizzare la sua impresa deve tener conto del GDPR.
Quali dati trattare e come:
Essere accountable significa mettere in atto un altro principio cardine del GDPR, la privacy by default.
Vanno trattati solo i dati necessari per il raggiungimento delle finalità, e per il tempo strettamente necessario ad espletarle.
Ad esempio: non puoi utilizzare l’indirizzo di spedizione di un cliente che hai acquisito per spedire un pacco, anche per mandargli dei volantini di marketing per posta, perché stai andando oltre la finalità per cui hai trattato il dato.
Il principio alla base delle modalità di trattamento dei dati è la trasparenza a favore dell’interessato del trattamento, che deve aver modo di gestire i suoi dati con la massima facilità .
Scelta del responsabile del trattamento:
Da un lato il titolare del trattamento risponde per conto del responsabile che non è GDPR compliant. Ma lo stesso responsabile del trattamento risponde per proprio conto in base al principio di accountability.
Ragion per cui non c’è agenzia di web marketing o freelance, che normalmente svolgono il ruolo di responsabile del trattamento, che può dire che il GDPR non lo riguarda.
Analisi del rischio e scelta degli strumenti per il trattamento e la cancellazione dei dati:
Altro principio che entra in gioco è quello della privacy by design: la struttura aziendale deve essere adeguata a tutelare i dati trattati.
Quale cookie banner mettere sul sito. I plugin che metti sul sito, il CRM che utilizzi, sono a norma di GDPR? Tutte queste decisioni sono di responsabilità del titolare del trattamento, non può delegarle al webmaster, ad esempio.
Dove sono conservati dati? Vengono trattati anche dati particolari? In questo caso l’attenzione deve essere maggiore.
In tutte queste decisioni il titolare del trattamento può essere coadiuvato dal DPO che non solo, grazie alla formazione specifica, è in grado di scegliere gli strumenti giusti per far sì che l’azienda sia GDPR compliant, ma ha anche il compito di formare il personale interno.
Corso GDPR
22 lezioni di teoria e pratica
Cosa imparerai?
- Quali sono i dati personali e quali non rientrano nel GDPR
- Tipologie di dati personali e relative tutele
- I soggetti del GDPR e relative responsabilità
- Corretta gestione dei dati personali online e offline
Rendicontazione
L’accountability è strettamente legato al concetto di prova: il titolare del trattamento deve dimostrare di essere stato accountable nel prendere le sue decisioni.
È in questo modo che il GDPR da mera teoria diventa concretezza ed effettività.
Quando va dimostrato che si è agito in conformità del GDPR?
Non è necessario che ci sia un data breach o una segnalazione al Garante per essere sottoposti ad un controllo: in qualsiasi momento l’autorità competente può richiedere al titolare di un’azienda la motivazione per cui ha deciso di trattare i dati e le modalità in cui lo fa. Il titolare del trattamento deve inoltre dimostrare che le misure che ha intrapreso sono efficaci.
Tutto questo implica avere la capacità di gestire la materia.
Conclusione accountability
Il GDPR ha senza dubbio rivoluzionato il mondo dell’impresa.
Si è passati da una fase in cui la privacy c’era ma era un concetto nebuloso e poco percepito sia da parte di chi ne ha diritto sia da parte di chi ha il dovere di rispettarla.
Contemporaneamente il ruolo assegnato al titolare del trattamento è davvero molto complesso. Se ancora nel 2021 gran parte delle imprese non si è adeguato è perché ancora il GDPR non è un mindset acquisito.
Nessuna impresa, dalla più piccola alla più grande, è in grado di adeguarsi da sola al Regolamento.
Anche perché spesso le aziende che sono piccole off-line, estendono la loro rete nel mondo dell’online: si può avere uno o due dipendenti, ma poi fare funnel di marketing complessi, avere shop virtuali che vendono anche all’estero.
Quindi le dimensioni dell’impresa non sono un parametro affidabile per comprendere le implicazioni a livello di trattamento dati.
Per questa ragione il nostro studio assiste l’impresa nell’adeguamento al Regolamento Europeo a 360 gradi, analizzando tutta la struttura online e offline per capirne le criticità legali.
E non dimentichiamo che l’adeguamento al GDPR è un processo, non si esaurisce una tantum!
Brunella Martino
Avvocato specializzato in privacy e proprietà intellettuale con 15 anni di esperienza, DPO, arbitro in materia societaria, autrice Flaccovio Editore, formatrice aziendale, socia FederPrivacy, segretario dell'Aiga sezione Lucca e componente Aiga nazionale Dipartimento Diritto delle nuove tecnologie
⚖️ Violazioni della privacy e sanzioni
13 Maggio 2020Si parla di violazione della privacy quando si trattano e si diffondono dati personali senza il consenso dell’interessato al trattamento. Come si può procedere?
Leggi altro
⚖️ Svolgere l’attività di Web Scraping nel rispetto del regolamento GDPR
7 Novembre 2022Il web scraping sollecita l’attenzione del GDPR. La ragione è semplice da comprendere: l’attività comporta una massiva raccolta di dati dai siti web presi di mira. In linea di massima non è tanto la raccolta dei dati personali ad allarmare il Garante per la protezione dei dati personali, bensì il pensiero dell’utilizzo che di quegli stessi dati si può fare.
Leggi altro
⚖️ La profilazione dei dati: tra strategia di marketing e GDPR
17 Marzo 2023Nell’articolo di oggi parliamo di privacy e GDPR da un punto di vista molto interessante che viene spesso sottovalutato: la profilazione dell’utente nelle strategie di marketing.
Leggi altro