L’art. 24 del GDPR prevede che il Titolare del trattamento metta in atto “misure tecniche ed organizzative adeguate per garantire, ed essere in grado di dimostrare (c.d. principio di accountability) che il trattamento dei dati personali è effettuato – tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche – in conformità a quanto previsto dal Regolamento”.
La norma impone, quindi, l’adozione di comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione delle misure di protezione descritte dal GDPR nel suo complesso.
Questo approccio costituisce il vero e proprio cambiamento culturale rispetto al passato, dato che il GDPR incoraggia i Titolari del trattamento a cambiare mentalità, facendo fare un salto di qualità ai principi già espressi, a suo tempo, dal WP29 (“Opinion 3/2010 on the principle of accountability“) e, prima ancora, dall’OCSE, nelle proprie Privacy Guidelines, dove già era presente, in versione embrionale, il nucleo centrale del principio di responsabilizzazione basato su un sistema di protezione dei dati personali fondato sulla valutazione preventiva dei rischi.
Si può, in linea generale, affermare che il Titolare del trattamento “accountable” è quel soggetto che, nell’adottare le proprie misure di sicurezza, ha tenuto conto:
- del contesto in cui opera;
- delle specifiche circostanze in cui avviene il trattamento dei dati.
Ciò significa, in particolare, che il Titolare del trattamento deve individuare attentamente:
- i processi;
- le attività;
- le misure tecniche ed organizzative;
- le sanzioni e gli obblighi gravanti sul medesimo.
E’ indubitabile che lo strumento chiave su cui si fonda il principio di responsabilizzazione sancito dal GDPR sia il Registro delle attività di trattamento previsto dall’art. 30, che deve essere redatto, monitorato ed aggiornato periodicamente secondo criteri uniformi che ne garantiscano la coerenza strutturale e funzionale, anche in un’ottica ispettiva, consentendo un corretto ciclo di gestione degli adempimenti previsti dalla normativa.
Sotto questo profilo, un software in grado di tenere adeguatamente traccia, nel tempo, dei cambiamenti verificatisi nelle procedure aziendali destinate al trattamento dei dati, degli asset coinvolti nel trattamento e delle misure di sicurezza adottate a protezione dei dati personali degli interessati, è certamente in grado di garantire il principio di accountability in modo più efficace di un semplice file excel statico.
Conformarsi correttamente al principio di accountability consente, oltretutto, di accrescere nel tempo la fiducia degli interessati che entrano in contatto con tale azienda, dato che costoro potranno verificare in qualunque momento di essere garantiti in misura massima delle misure di protezione poste in essere dal Titolare del trattamento in relazione ai dati personali che li riguardano.
Benché lo scetticismo al riguardo sia ancora di molti, vista in questa prospettiva, l’accountability non è più percepita come un (mero) costo ma come una risorsa ed un’opportunità: un corretto approccio basato sul principio di dimostrabilità delle misure di protezione adottate, permetterà, infatti, al Titolare del trattamento di adottare metodi e pratiche efficaci in grado di soddisfare al meglio le esigenze di sicurezza desiderate, in primis, dai propri clienti, con ritorni economici e di immagine positivi e probabilmente anche significativi in termini quantitativi.