di Antonio Serriello

Principio cardine della nuova normativa sulla Privacy – il GDPR o Regolamento europeo in materia di protezione dei dati personali (Reg. 2016/679) – è il Principio di Accountability Privacy, nato dal desiderio di rafforzare il diritto alla riservatezza dei cittadini nei confronti di imprese e pubbliche amministrazioni.

Nel suo intervento al Convegno Privacy Unolegal 2017, Luca Bolognini, Presidente dell’Istituto Italiano per la Privacy e Avvocato dell’Ordine di Roma, ha definito il principio di Accountability “DNA di fondo del regolamento”.

Il Regolamento GDPR introduce, infatti, una grande novità: un obbligo di responsabilizzazione e rendicontazione in capo alle imprese, attribuendo al titolare del trattamento la responsabilità di adottare (e rispettare) tutte le misure tecniche, organizzative e legali necessarie a garantire l’effettiva protezione dei dati personali.

A tal fine, Luca Bolognini parla di Responsabilità sanzionabile e verificabile (c.d. principio di Responsabilizzazione): questa, infatti, dovrebbe essere considerata a suo parere l’esatta traduzione del termine Accountability Privacy.

In base a tale principio, Titolari e Responsabili del trattamento sono liberi di stabilire, in completa autonomia, le misure e le procedure ritenute più idonee a uniformare l’azienda ai principi sanciti dal Regolamento GDPR, consapevoli, però, dei rischi derivanti da eventuali valutazioni o interpretazioni scorrette, anche se in buona fede.

Spetta, infatti, al Titolare e, in misura ridotta, al Responsabile del trattamento documentare e dimostrare ex post la conformità di ogni misura adottata alla Nuova Normativa.

Il Regolamento Europeo GDPR, quindi, pone al centro della Nuova Normativa Privacy l’individuo e impone alle aziende un atteggiamento responsabile, attribuendo a Titolari e Responsabili ampia autonomia in merito al trattamento dei dati personali.

Lo conferma l’art. 5 del GDPR in base al quale i dati personali devono essere trattati in modo lecito, corretto e trasparente nei confronti dell’interessato, in maniera da garantire un’adeguata sicurezza, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, distruzione o danno accidentali.

Spetta a Titolari e Responsabili del trattamento stabilire in autonomia tali misure tecniche e organizzative, nonché valutare la relativa adeguatezza, consapevoli – come sottolinea Bolognini – che l’Autorità Garante nazionale, ex post, potrebbe considerare quella valutazione insufficiente e applicare comunque una sanzione.

Si pensi, ad esempio, al riconoscimento dell’esistenza di un legittimo interesse al trattamento. Il Titolare potrebbe ritenerlo sussistente, e impostare su tale convinzione la propria disciplina Privacy, mentre il Garante Privacy, in un momento successivo, stabilire che quell’interesse è del tutto assente.

Il principio di Accountability Privacy: l’interpretazione del nuovo GDPR

La Responsabilizzazione delle imprese è difficilmente traducibile in termini di costi e rischio di impresa” – sottolinea l’Avvocato Luca Bolognini – “questo è il fulcro, e la contraddizione insieme, del Nuovo Regolamento GDPR”.

Secondo Bolognini, quindi, la chiave per interpretare la Disciplina Europea e il Principio di Accountability Privacy risiede nel termine “dimostra”: un buon Titolare, insieme ai soggetti coinvolti nel trattamento, mette se stesso e l’azienda nelle condizioni di rendere le proprie valutazioni e decisioni dimostrabili.

Ogni misura, ogni procedura, ogni metodologia applicativa deve essere affidabile, credibile e giustificabile ex post.

A tal fine, è importante sviluppare una forte sensibilità informatica, ma anche tecnologica e legale e imparare a valutare le proprie decisioni da un punto di vista ulteriore ed esterno.

Da dove iniziare?

Dall’articolo 83 Reg., che individua le Condizioni generali per infliggere sanzioni amministrative pecuniarie in relazione alla violazione del Nuovo Regolamento.

In caso di inosservanza o di mancato adeguamento alla nuova normativa europea, e quindi di trattamento illecito di dati personali, si rischia di andare incontro a sanzioni amministrative pecuniarie fino a 20.000,00 euro, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.

Da qui l’importanza di interpretare correttamente il regolamento.

Per assicurare la conformità delle proprie procedure e Privacy Policy al Regolamento occorre effettuare una Gap Analysis: cioè, avviare una mappatura completa dei trattamenti, confrontare le misure adottate con i principi stabiliti dal GDPR e verificare l’eventuale sussistenza di difformità, così da avviare eventuali azioni correttive di adeguamento.

Il Regolamento impone a Titolari e Responsabili del trattamento più di 150 condizioni, che si traducono in altrettanti controlli di conformità ex post.

Alcuni requisiti sono soggettivi e generali (riguardano cioè la società come entità in sé: la natura giuridica, le dimensioni etc.) oppure oggettivi e speciali (quando riguardano i singoli trattamenti, come ad es., l’esistenza dell’informativa, del consenso, di un legittimo interesse alla raccolta etc.).

GDPR Privacy e contestabilità delle relative sanzioni

Se da un lato l’Accountability Privacy grava le imprese di forti responsabilità, dall’altro – conclude Bolognini – tali responsabilità si traducono in altrettante fonti di limitazioni al controllo dell’Autorità Garante, la cui legittimità dei provvedimenti sanzionatori (e relative motivazioni) può essere sempre contestata dal diretto interessato.

L’esercizio del potere di controllo da parte dell’autorità è, infatti, soggetto a garanzie procedurali adeguate in conformità al diritto dell’Unione e degli Stati membri.

In questo modo, quella stessa libertà e autodeterminazione riconosciuta alle imprese si traduce nel potere di contestare la validità delle decisioni, mettendo in discussione le sanzioni inflitte dall’Autorità, sia nel merito che nell’entità.

Le sanzioni devono essere proporzionate alla violazione riscontrata e devono tener conto, tra l’altro, della natura, gravità e durata della violazione, del carattere colposo o doloso della stessa, dell’eventuale sussistenza di precedenti violazioni, della sussistenza o meno di misure di sicurezza finalizzate a prevenire il danno, del tipo di dati personali oggetto di violazione e delle conseguenze in capo al soggetto Interessato.

Luca Bolognini conclude così il suo intervento sul Principio di Accountability Privacy nel GDPR, sottolineando la necessità di iniziare ad osservare la Nuova Disciplina Privacy GDPR con occhi differenti, consapevoli dell’esistenza di un ampio potere di interpretazione dei principi contenuti al suo interno.

– Intervento di Luca Bolognini di ICT Legal Consulting al Convegno Privacy Unolegal 2017 –

Condividi su twitter
Condividi su linkedin
Condividi su email

Pubblicato il:

Ti interesserà leggere anche

Non perdere le novità

Non perdere le ultime novità dal mondo della Privacy e GDPR

Cliccando su ISCRIVITI esprimi il tuo consenso a ricevere comunicazioni e aggiornamenti su PrivacyRevolution da parte di Sistemi H.S. S.p.A., Titolare del trattamento.

Informativa al trattamento dei dati ex art. 13 Regolamento UE 2016/679

La informiamo che, ai sensi del Regolamento UE 2016/679 (infra: “Regolamento”), i Suoi Dati Personali saranno trattati da Sistemi HS S.p.A. con sede Via Torino 176 10093 Collegno (TO), in qualità di titolare del trattamento (“Titolare”).
Il Responsabile della Protezione dei Dati (“DPO”) è raggiungibile ai seguenti indirizzi: dpo@sistemihs.it  – sistemihsdpo@cert.unonet.it
Il Titolare tratterà i Suoi dati personali per la finalità di gestione delle comunicazioni e delle newsletter relative alla community PrivacyRevolution.
La base giuridica del trattamento è riferita all’espressione del consenso da parte dell’interessato al trattamento dei propri dati personali (art. 6(1)(a) del Regolamento).
Il conferimento dei Suoi Dati Personali per la finalità di cui sopra è facoltativo; non è prevista alcuna conseguenza in caso di un Suo rifiuto. In mancanza dei dati però, non sarà possibile per il Titolare inviarle alcuna comunicazione.
L’interessato ha la possibilità di revocare il consenso prestato e di opporsi a tale trattamento in ogni momento in maniera agevole e gratuita, anche scrivendo al Servizio Privacy presso il Titolare all’indirizzo: compliance@sistemiuno.it
I Suoi dati personali potranno essere condivisi con persone fisiche autorizzate dalla Titolare al trattamento di dati personali previa sottoscrizione di un accordo di riservatezza (es. dipendenti e amministratori di sistema); soggetti terzi coinvolti nella gestione delle attività legate alla predetta finalità, alcuni dei quali agiscono in qualità di responsabili del trattamento (l’elenco completo ed aggiornato è disponibile e consultabile previa richiesta a compliance@sistemiuno.it); soggetti, enti o autorità a cui sia obbligatorio comunicare i suoi dati personali in forza di disposizioni di legge o di ordini delle autorità.
Il Titolare non trasferisce i Suoi Dati Personali al di fuori dello Spazio Economico Europeo.
I suoi Dati Personali saranno conservati fino alla revoca del consenso prestato. È fatto salvo in ogni caso l’ulteriore conservazione prevista dalla normativa applicabile tra cui quella prevista dall’art. 2946 cod. civ. Maggiori informazioni sono disponibili presso il Titolare
Lei ha diritto di chiedere al Titolare, in qualunque momento, l’accesso ai Suoi Dati, la rettifica o la cancellazione degli stessi o di richiedere la limitazione del trattamento, o di ottenere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati che La riguardano nei casi previsti dall’art. 20 del Regolamento.
È possibile formulare una richiesta di opposizione al trattamento dei Suoi dati ex articolo 21 del GDPR nella quale dare evidenza delle ragioni che giustifichino l’opposizione: il Titolare si riserva di valutare l’istanza, che non verrebbe accettata in caso di esistenza di motivi legittimi cogenti per procedere al trattamento che prevalgano sui tuoi interessi, diritti e libertà.
In qualsiasi momento potrà revocare ex art. 7 del Regolamento, il consenso già prestato, senza che ciò pregiudichi la liceità del trattamento effettuato anteriormente alla revoca del consenso.
Le richieste vanno rivolte per iscritto al Titolare o al DPO ai recapiti sopra indicati. In ogni caso Lei ha sempre diritto di proporre reclamo all’autorità di controllo competente (Garante per la Protezione dei Dati Personali), ai sensi dell’art. 77 del Regolamento, qualora ritenga che il trattamento dei Suoi dati sia contrario alla normativa in vigore.

Unisciti a Privacy Revolution!

Iscrivendoti a Privacy Revolution riceverai gratuitamente aggiornamenti sulle ultime novità in campo Privacy, GDPR e Compliance, inviti a webinar ed eventi speciali!

Cliccando su ISCRIVITI esprimi il tuo consenso a ricevere comunicazioni e aggiornamenti su PrivacyRevolution da parte di Sistemi H.S. S.p.A., Titolare del trattamento.