L’accountability è il processo con cui (a livello sociale, politico, aziendale, contabile o comunque collettivo) si è chiamati a rendere conto delle conseguenze delle proprie azioni.

È bene specificare che il trattamento dei dati personali è legittimo solo nella misura in cui, chi lo attua, rispetti le norme e i principi previsti dal Regolamento UE. Si parla, dunque, del titolare del trattamento, ovverosia la persona fisica o giuridica, l’Autorità Pubblica, il servizio, o altro organismo che, singolarmente, o insieme ad altri, determinando le finalità e i mezzi del Trattamento, è tenuto ad una serie di adempimenti strettamente correlati proprio al concetto di accountability.

Il “principio di accountability” potrebbe essere tradotto, nella lingua italiana, con “principio di responsabilizzazione e di rendicontazione”. Difatti, tale termine richiama almeno due accezioni, distinte tra loro ma fondamentali allo stesso tempo, che ricomprendono gli adempimenti richiesti al Titolare: l’adempimento al dettato normativo nonché la capacità di dimostrare e comprovare la conformità al Regolamento UE 679/2016.

L’accountability per il GDPR: una rivoluzione

Nello specifico, si tratta di una grande novità per la protezione dei dati in quanto viene affidato ai titolari il compito di decidere autonomamente le modalità, le garanzie e i limiti del trattamento dei dati personali nel rispetto delle disposizioni normative e alla luce di alcuni criteri specifici indicati nel regolamento.

Qual è la finalità del principio dell’accountability?

Il principio di accountability è volto a superare il concetto meramente burocratico di trattamento del dato personale: il titolare del trattamento deve essere in grado di dimostrare che ogni decisione che prende è in linea con i principi stabiliti dal GDPR.

I requisiti soggettivi dell’accountability GDPR

I principi applicabili, a cui il titolare è obbligato a conformarsi, sono specificati nell’art.5 del GDPR e possono essere così sintetizzati:

• Liceità, correttezza e trasparenza: i dati sono trattati in modo lecito (e, conseguentemente, corretto e trasparente) solo se e nella misura in cui ricorre almeno una delle condizioni di liceità indicate nell’art. 6 del GDPR e 9, par. 2, del GDPR, per i dati particolari.
• Limitazione delle finalità: i dati sono raccolti e successivamente trattati in modo che vi sia compatibilità con le finalità da perseguire, previamente stabilite.
• Minimizzazione dei dati: i dati raccolti sono limitati a quanto necessario rispetto alle finalità perseguite dallo specifico trattamento.
• Esattezza: i dati devono essere corretti e se necessario, aggiornati.
• Limitazione della conservazione: i dati raccolti devono essere conservati solo per il periodo necessario al perseguimento delle finalità.
• Integrità e riservatezza: i dati devono essere trattati in modo da garantire un’adeguata protezione dei dati personali da trattamenti illeciti o non autorizzati che possono causarne la perdita e la distruzione.

L’impatto dell’accountability sull’organizzazione aziendale

L’accountability sancita dal GDPR non è solo una serie di azioni di conformità, ma rappresenta un cambiamento olistico nell’approccio alla gestione dei dati personali, che influisce significativamente sulla cultura e sulle operazioni aziendali.

L’obiettivo resta quello: fare in modo che chi rispetta le regole non sia semplicemente un soggetto che si mette in safe side, che adempie alla legge, che non corre il rischio di incorrere in una sanzione. Ma è un soggetto che si presenta in maniera più appealing al suo pubblico di utenti e consumatori e che è premiato alla fine anche sul mercato e dal mercato.

L’accountability del titolare: come rispettare la compliance

Il regolamento pone con forza l’accento sulla “responsabilizzazione” (accountability nell’accezione inglese) di titolari e responsabili – ossia, sull’adozione di comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione del regolamento (si vedano artt. 23-25, in particolare, e l’intero Capo IV del regolamento). Si tratta di una grande novità per la protezione dei dati in quanto viene affidato ai titolari il compito di decidere autonomamente le modalità, le garanzie e i limiti del trattamento dei dati personali – nel rispetto delle disposizioni normative e alla luce di alcuni criteri specifici indicati nel regolamento.

Il primo fra tali criteri è sintetizzato dall’espressione inglese “data protection by default and by design” (si veda art. 25), ossia dalla necessità di configurare il trattamento prevedendo fin dall’inizio le garanzie indispensabili “al fine di soddisfare i requisiti” del regolamento e tutelare i diritti degli interessati – tenendo conto del contesto complessivo ove il trattamento si colloca e dei rischi per i diritti e le libertà degli interessati. Tutto questo deve avvenire a monte, prima di procedere al trattamento dei dati vero e proprio (“sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso”, secondo quanto afferma l’art. 25(1) del regolamento) e richiede, pertanto, un’analisi preventiva e un impegno applicativo da parte dei titolari che devono sostanziarsi in una serie di attività specifiche e dimostrabili.

Fondamentali fra tali attività sono quelle connesse al secondo criterio individuato nel regolamento rispetto alla gestione degli obblighi dei titolari, ossia il rischio inerente al trattamento. Quest’ultimo è da intendersi come rischio di impatti negativi sulle libertà e i diritti degli interessati (si vedano considerando 75-77); tali impatti dovranno essere analizzati attraverso un apposito processo di valutazione (si vedano artt. 35-36) tenendo conto dei rischi  noti o evidenziabili e delle misure tecniche e organizzative (anche di sicurezza) che il titolare ritiene di dover adottare per mitigare tali rischi  (si segnalano, al riguardo, le linee-guida in materia di valutazione di impatto sulla protezione dei dati adottate dal Gruppo “Articolo 29”, qui disponibili: www.garanteprivacy.it/regolamentoue/DPIA). All’esito di questa valutazione di impatto il titolare potrà decidere in autonomia se iniziare il trattamento (avendo adottato le misure idonee a mitigare sufficientemente il rischio) ovvero consultare l’autorità di controllo competente per ottenere indicazioni su come gestire il rischio residuale; l’autorità non avrà il compito di “autorizzare” il trattamento, bensì di indicare le misure ulteriori eventualmente da implementare a cura del titolare e potrà, ove necessario, adottare tutte le misure correttive ai sensi dell’art. 58: dall’ammonimento del titolare fino alla limitazione o al divieto di procedere al trattamento.

Il DPO come garante dell’accountability

Anche la designazione di un “responsabile della protezione dati” (RDP, ovvero DPO se si utilizza l’acronimo inglese: Data Protection Officer) riflette l’approccio responsabilizzante che è proprio del regolamento (si veda art. 39), essendo finalizzata a facilitare l’attuazione del regolamento da parte del titolare/del responsabile. Non è un caso, infatti, che fra i compiti del RPD rientrino “la sensibilizzazione e la formazione del personale” e la sorveglianza sullo svolgimento della valutazione di impatto di cui all’art. 35. La sua designazione è obbligatoria in alcuni casi (si veda art. 37), e il regolamento tratteggia le caratteristiche soggettive e oggettive di questa figura (indipendenza, autorevolezza, competenze manageriali: si vedano artt. 38 e 39) in termini che il WP29 ha ritenuto opportuno chiarire attraverso alcune linee-guida di recente pubblicazione, disponibili anche sul sito del Garante

Analisi del rischio e strumenti

I riferimenti al risk based approach impongono di chiarire preliminarmente alcuni concetti fondamentali per un’impostazione del percorso di analisi metodologicamente corretto. Di seguito si riporta il significato di alcuni termini che usualmente vengono utilizzati in tale ambito, ma che non sempre sono declinati in modo appropriato:

• Minaccia: l’ENISA definisce “minaccia” qualsiasi circostanza o evento che potenzialmente può determinare un impatto negativo (un male o un danno) ad una cosa o persona. Le minacce tendono ad essere specifiche relativamente a determinati ambienti. La scelta del tipo di minaccia da prendere in considerazione al loro potenziale di rischio dovrà ricadere, ovviamente, su quelle che si presentano caratterizzanti per l’organizzazione in relazione ai tipi di trattamento svolto e al contesto in cui detti trattamenti si svolgono.

Per aiutare il titolare del trattamento nel non facile compito di analizzare le possibili minacce che possono occorrere, sono stati nel tempo elaborati diversi elenchi di possibili minacce. Tali elenchi sono il frutto del lavoro di diversi organismi internazionali preposti a dare le indicazioni e le linee guida principali in materia.

• Vulnerabilità: La vulnerabilità è definita come la caratteristica d’uso di un oggetto che può essere sfruttata da una minaccia per creare effetti negativi. La vulnerabilità si differenzia dalla debolezza che, invece, è la caratteristica intrinseca di un oggetto che può condurre ad effetti negativi.
• Rischio: Il rischio è, invece, la probabilità che possa accadere qualcosa di negativo. Per far sì che si presenti l’eventualità di un rischio è necessario avere sia un fattore di minaccia che un fattore di vulnerabilità.

In generale non bisogna confondere il rischio con la minaccia. Mentre la minaccia indica la fonte di pericolo, il rischio è la verosimiglianza che la minaccia si verifichi. Quindi possiamo affermare che il Rischio consiste nella potenziale perdita, danno o distruzione di un’attività a seguito di una minaccia che sfrutta una vulnerabilità.

Il livello di rischio è determinato dal prodotto della probabilità di accadimento di un evento/minaccia per l’impatto in termini effetti (danno) da questo generato. Queste valutazioni servono per individuare la strategia migliore in termini di tempo occorrente e risorse disponibili per mitigare gli attacchi più probabili e di maggiore gravità.

La fase di rendicontazione

Secondo recenti indagini le aziende sono oggi più consapevoli dell’importanza della rendicontazione sulla sostenibilità, sia per rendere più verde la propria reputazione, sia per generare reali vantaggi commerciali. In tale contesto la privacy viene spesso trascurata, sebbene abbia impatti su tutti gli elementi cardine della rendicontazione (l’ambiente, la società e la governance).

La rendicontazione di sostenibilità, mediante la realizzazione di un bilancio ESG (Environmental, Social, Governance), si sta consolidando come elemento chiave per garantire che un’organizzazione non arrechi danni all’ambiente e generi valore per tutti gli stakeholders, compresi fornitori, clienti, dipendenti, azionisti, etc.

Nella cornice della rendicontazione, l’ampio uso dei dati personali fa sì che la privacy dei dati sia diventata un tema materiale particolarmente rilevante: maggiori sono le attività di trattamento svolte dall’organizzazione, maggiori saranno gli impatti sul rating ESG.

Cosa bisognerebbe quindi considerare per la rendicontazione ESG?

• La minimizzazione dei dati: come anticipato, gestire più dati significa una maggiore impronta di carbonio e più problemi di governance e di sicurezza. Affrontare il tema della minimizzazione dei dati è fondamentale per dimostrare di raccogliere e conservare solo i dati necessari per l’elaborazione legittima dei dati;
• La conservazione dei dati: anche la conservazione dei dati rappresenta un tema importantissimo da rendicontare. I dati non più necessari devono essere cancellati, con conseguente riduzione dei consumi relativi all’infrastruttura server e riduzione dei costi in servizi cloud;
• L’hosting dei dati: in correlazione al punto precedente, la revisione delle opzioni di hosting e archiviazione dei dati aiuta a ridurre l’impronta di carbonio. Ad esempio, affidandosi a centri dati multi-tenant per l’archiviazione dei dati digitali si riduce al minimo il consumo energetico utilizzando strutture condivise;
• La gestione dei diritti degli interessati: in relazione alla gestione delle richieste privacy, varie misure possono essere rendicontate. Ad esempio, l’organizzazione che mette a disposizione un apposito portale online ai clienti, per l’invio delle istanze, riduce la quantità di carta e di spese postali. Inoltre, rende più efficiente il processo e abbatte la manodopera interna;
• La privacy by design e la privacy by default: i requisiti di privacy dovrebbero essere incorporati all’inizio di qualsiasi nuovo trattamento dei dati. In questo modo, le organizzazioni riducono il potenziale uso improprio o la perdita di dati personali, a tutto vantaggio della conformità legale e della fiducia dei clienti;
• La trasparenza e la gestione del consenso: l’organizzazione dovrebbe fornire e rendicontare informazioni chiare su come vengono utilizzati i dati personali, in modo da promuovere la fiducia degli stakeholders. Anche le modalità di gestione del consenso dovrebbero essere trasparenti e rispettose dei diritti degli interessati;
• La cultura, formazione e consapevolezza: l’utilizzo di misure di formazione interattive insieme ad attività di coinvolgimento dei dipendenti favoriscono la cultura della privacy e una buona governance dei dati.

Se cerchi supporto nella compliance Privacy e DPO a Udine e desideri ricevere una consulenza per la definizione del DPO contattaci. Un nostro tecnico sarà a tua disposizione per definire assieme la migliore soluzione adatta a te.