Qual’è il significato del principio di accountability nell’ambito della protezione dei dati personali? E come farne applicazione?
Il termine tradotto dall’inglese significa responsabilizzazione ma anche affidabilità del titolare nel trattare dati personali, sia in modo diretto che attraverso terze parti (es. responsabili del trattamento).
La responsabilizzazione e l’affidabilità nel trattare dati personali vanno perseguite e dimostrate in modo proattivo e concreto, attraverso misure di sicurezza e buone pratiche.
Accountability: cosa significa
Il principio è contenuto nell’art. 5, par. 2 del Regolamento UE 679/2016 (“GDPR”). E stabilisce che spetta al titolare rispettare e poter dimostrare l’applicazione dei principi alla base di qualsiasi trattamento di dati personali, cioè:
- liceità, trasparenza e correttezza,
- limitazione della finalità,
- minimizzazione dei dati,
- esattezza,
- limitazione della conservazione,
- integrità e riservatezza
Secondo l’art. 24 del regolamento:
[...]il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento
Inoltre, il considerando 74 del regolamento stabilisce che:
[...]il titolare del trattamento dovrebbe essere tenuto a mettere in atto misure adeguate ed efficaci ed essere in grado di dimostrare la conformità delle attività di trattamento con il presente regolamento, compresa l'efficacia delle misure.
Pertanto, possiamo dedurre che il titolare sia il destinatario di due obblighi specifici:
- adottare le misure tecniche ed organizzative adeguate ed efficaci
- mettersi nelle condizioni di poter dimostrare, in qualsiasi momento, agli interessati, al pubblico e alle autorità di controllo la conformità dei trattamenti rispetto a quanto previsto dal regolamento
In particolare, le misure di sicurezza dovrebbero essere lo strumento attraverso il quale il titolare riesce a garantire il rispetto delle norme sulla protezione dei dati personali.
Nonostante le norme facciano riferimento solo al titolare, esse sono applicabili anche ai responsabili del trattamento. Questi ultimi devono, comunque, rispettare gli obblighi strettamente connessi ad un profilo di responsabilità (es. registro dei trattamenti).
Come scegliere le misure di sicurezza
A questo punto la domanda potrebbe essere: quali misure il titolare può adottare per garantire la conformità dei trattamenti al regolamento?
Torna utile richiamarsi ancora al considerando 74 del regolamento:
Tali misure dovrebbero tener conto della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento, nonché del rischio per i diritti e le libertà delle persone fisiche
La prima parte del considerando richiama l’importanza di considerare:
- la natura, cioè le caratteristiche intrinseche dei trattamenti (es. tipo di dati trattati, trattamenti automatizzati, caratteristiche degli asset di supporto, ecc.),
- l’ambito di applicazione, cioè la dimensione e la portata dei trattamenti (es. volume di dati trattati, numero di soggetti autorizzati al trattamento, numero di soggetti interessati di cui vengono trattati i dati, numero dei destinatari ai quali i dati possono essere comunicati, ecc.)
- il contesto, cioè gli aspetti interni ed esterni che possono influire sulle aspettative degli interessati (es. esistenza di accordi particolari, legittimi interessi da parte degli interessati, rapporti particolari tra titolare e interessati, ecc.)
- le finalità, cioè gli scopi per i quali i dati sono trattati
A ben vedere questi aspetti dei trattamenti sono tanto importanti da essere richiamati anche in altre sezioni del regolamento:
- Progettazione dei dati fin dalla progettazione o privacy by design (art. 25),
- Sicurezza del trattamento (art. 32),
- Valutazione d’impatto (art. 35)
Accountability: l’importanza dell’approccio basato sul rischio
L’ultima parte del considerando citato evidenzia invece la necessità di adottare un approccio basato sul rischio.
Infatti, la stima del livello di rischi che i trattamenti presentano è uno dei fattori chiave in relazione al quale valutare il requisito dell’adeguatezza delle misure.
Il considerando 75 collega i rischi per i diritti e le libertà degli interessati alla possibilità che un trattamento causi un danno fisico, materiale o immateriale a tali soggetti. E fornisce anche degli esempi particolari in tal senso:
- trattamento che può comportare discriminazioni, furto o usurpazione d’identità, perdite finanziarie, pregiudizio alla reputazione, perdita di riservatezza dei dati personali protetti da segreto professionale o qualsiasi altro danno economico o sociale rilevante,
- trattamenti di dati personali particolari, (origine razziale o etnica, opinioni politiche, convinzioni religiose o filosofiche, appartenenza sindacale, dati genetici, dati relativi alla salute o alla vita sessuale o a condanne penali e a reati o alle relative misure di sicurezza),
- trattamenti di dati di persone vulnerabili, in particolare minori,
- trattamenti caratterizzati da una notevole quantità di dati trattati e un numero elevato di interessati,
- trattamenti basati sulla valutazione di aspetti personali (es. rendimento, ecc..) per la creazione e/o l’uso di profili personali
Esempi di misure di sicurezza
Alcune misure di accountability che i titolari possono adottare per agevolare il rispetto dei principi di protezione dei dati di cui all’art. 5 del regolamento sono:
- creazione e aggiornamento del registro dei trattamenti,
- nomina del responsabile della protezione dei dati personali (RPD),
- esecuzione di valutazioni d’impatto condotte secondo l’art. 35 del regolamento,
- applicazione del principio di privacy by design,
- creazione e mantenimento di procedure per consentire agli interessati l’esercizio dei loro diritti
- procedure per documentare e notificare le violazioni di sicurezza dei dati personali (data breach)
Come misurare l’efficacia delle misure di sicurezza
Mentre l’adeguatezza è in relazione ai livello dei rischi dei trattamenti, il concetto di efficacia è legato alla capacità di raggiungere gli obiettivi voluti. In relazione al principio di accountability, gli obiettivi possono essere due:
- garantire la conformità dei trattamenti rispetto ai principi di protezione dei dati personali,
- dimostrare in qualsiasi momento tale conformità
In funzione di questi obiettivi e della valutazione dei fattori richiamati, compreso il livello dei rischi, il titolare è libero di scegliere le misure da applicare.
Ma deve anche disporre di uno strumento per misurarne e dimostrarne l’efficacia e, se necessario, anche migliorarla.
Uno degli strumenti più utilizzati a tal fine può essere costituito dagli indicatori di performance o kpi. Si tratta di valori misurabili che assistono nel valutare l’efficienza e l’efficacia dei processi, delle strategie e delle azioni che una entità compie per raggiungere determinati obiettivi, in qualsiasi ambito, compreso quello della protezione dei dati personali.
Il loro valore è nell’utilità delle informazioni che offrono per compiere misurazioni e valutazioni. Per avere informazioni utilizzabili e, quanto più possibile, oggettive è di fondamentale importanza partire dagli obiettivi che si vogliono raggiungere.
E definire gli indicatori attraverso delle domande chiave, ad esempio:
- Come è possibile misurare l’andamento dei progressi rispetto al raggiungimento degli obiettivi prefissati?
- Quali dati può essere opportuno raccogliere?
- Come è possibile valutare le informazioni raccolte?
Ti è piaciuto l’articolo? Puoi contattarci per farci sapere la tua opinione o chiedere maggiori informazioni sui servizi, cliccando sul pulsante qui sotto.
Contattaci per maggiori informazioniOppure puoi iscriverti alla newsletter, così riceverai automaticamente tutti gli aggiornamento del blog. Puoi anche condividere l’articolo sui social network, cliccando su una delle icone in basso.