L’accountability Privacy come responsabilità verificabile

di Antonio Serriello

Principio cardine della nuova normativa sulla Privacy – il GDPR o Regolamento europeo in materia di protezione dei dati personali (Reg. 2016/679) – è il Principio di Accountability Privacy, nato dal desiderio di rafforzare il diritto alla riservatezza dei cittadini nei confronti di imprese e pubbliche amministrazioni.

Nel suo intervento al Convegno Privacy Unolegal 2017, Luca Bolognini, Presidente dell’Istituto Italiano per la Privacy e Avvocato dell’Ordine di Roma, ha definito il principio di Accountability “DNA di fondo del regolamento”.

Il Regolamento GDPR introduce, infatti, una grande novità: un obbligo di responsabilizzazione e rendicontazione in capo alle imprese, attribuendo al titolare del trattamento la responsabilità di adottare (e rispettare) tutte le misure tecniche, organizzative e legali necessarie a garantire l’effettiva protezione dei dati personali.

A tal fine, Luca Bolognini parla di Responsabilità sanzionabile e verificabile (c.d. principio di Responsabilizzazione): questa, infatti, dovrebbe essere considerata a suo parere l’esatta traduzione del termine Accountability Privacy.

In base a tale principio, Titolari e Responsabili del trattamento sono liberi di stabilire, in completa autonomia, le misure e le procedure ritenute più idonee a uniformare l’azienda ai principi sanciti dal Regolamento GDPR, consapevoli, però, dei rischi derivanti da eventuali valutazioni o interpretazioni scorrette, anche se in buona fede.

Spetta, infatti, al Titolare e, in misura ridotta, al Responsabile del trattamento documentare e dimostrare ex post la conformità di ogni misura adottata alla Nuova Normativa.

Il Regolamento Europeo GDPR, quindi, pone al centro della Nuova Normativa Privacy l’individuo e impone alle aziende un atteggiamento responsabile, attribuendo a Titolari e Responsabili ampia autonomia in merito al trattamento dei dati personali.

Lo conferma l’art. 5 del GDPR in base al quale i dati personali devono essere trattati in modo lecito, corretto e trasparente nei confronti dell’interessato, in maniera da garantire un’adeguata sicurezza, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, distruzione o danno accidentali.

Spetta a Titolari e Responsabili del trattamento stabilire in autonomia tali misure tecniche e organizzative, nonché valutare la relativa adeguatezza, consapevoli – come sottolinea Bolognini – che l’Autorità Garante nazionale, ex post, potrebbe considerare quella valutazione insufficiente e applicare comunque una sanzione.

Si pensi, ad esempio, al riconoscimento dell’esistenza di un legittimo interesse al trattamento. Il Titolare potrebbe ritenerlo sussistente, e impostare su tale convinzione la propria disciplina Privacy, mentre il Garante Privacy, in un momento successivo, stabilire che quell’interesse è del tutto assente.

Il principio di Accountability Privacy: l’interpretazione del nuovo GDPR

La Responsabilizzazione delle imprese è difficilmente traducibile in termini di costi e rischio di impresa” – sottolinea l’Avvocato Luca Bolognini – “questo è il fulcro, e la contraddizione insieme, del Nuovo Regolamento GDPR”.

Secondo Bolognini, quindi, la chiave per interpretare la Disciplina Europea e il Principio di Accountability Privacy risiede nel termine “dimostra”: un buon Titolare, insieme ai soggetti coinvolti nel trattamento, mette se stesso e l’azienda nelle condizioni di rendere le proprie valutazioni e decisioni dimostrabili.

Ogni misura, ogni procedura, ogni metodologia applicativa deve essere affidabile, credibile e giustificabile ex post.

A tal fine, è importante sviluppare una forte sensibilità informatica, ma anche tecnologica e legale e imparare a valutare le proprie decisioni da un punto di vista ulteriore ed esterno.

Da dove iniziare?

Dall’articolo 83 Reg., che individua le Condizioni generali per infliggere sanzioni amministrative pecuniarie in relazione alla violazione del Nuovo Regolamento.

In caso di inosservanza o di mancato adeguamento alla nuova normativa europea, e quindi di trattamento illecito di dati personali, si rischia di andare incontro a sanzioni amministrative pecuniarie fino a 20.000,00 euro, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.

Da qui l’importanza di interpretare correttamente il regolamento.

Per assicurare la conformità delle proprie procedure e Privacy Policy al Regolamento occorre effettuare una Gap Analysis: cioè, avviare una mappatura completa dei trattamenti, confrontare le misure adottate con i principi stabiliti dal GDPR e verificare l’eventuale sussistenza di difformità, così da avviare eventuali azioni correttive di adeguamento.

Il Regolamento impone a Titolari e Responsabili del trattamento più di 150 condizioni, che si traducono in altrettanti controlli di conformità ex post.

Alcuni requisiti sono soggettivi e generali (riguardano cioè la società come entità in sé: la natura giuridica, le dimensioni etc.) oppure oggettivi e speciali (quando riguardano i singoli trattamenti, come ad es., l’esistenza dell’informativa, del consenso, di un legittimo interesse alla raccolta etc.).

GDPR Privacy e contestabilità delle relative sanzioni

Se da un lato l’Accountability Privacy grava le imprese di forti responsabilità, dall’altro – conclude Bolognini – tali responsabilità si traducono in altrettante fonti di limitazioni al controllo dell’Autorità Garante, la cui legittimità dei provvedimenti sanzionatori (e relative motivazioni) può essere sempre contestata dal diretto interessato.

L’esercizio del potere di controllo da parte dell’autorità è, infatti, soggetto a garanzie procedurali adeguate in conformità al diritto dell’Unione e degli Stati membri.

In questo modo, quella stessa libertà e autodeterminazione riconosciuta alle imprese si traduce nel potere di contestare la validità delle decisioni, mettendo in discussione le sanzioni inflitte dall’Autorità, sia nel merito che nell’entità.

Le sanzioni devono essere proporzionate alla violazione riscontrata e devono tener conto, tra l’altro, della natura, gravità e durata della violazione, del carattere colposo o doloso della stessa, dell’eventuale sussistenza di precedenti violazioni, della sussistenza o meno di misure di sicurezza finalizzate a prevenire il danno, del tipo di dati personali oggetto di violazione e delle conseguenze in capo al soggetto Interessato.

Luca Bolognini conclude così il suo intervento sul Principio di Accountability Privacy nel GDPR, sottolineando la necessità di iniziare ad osservare la Nuova Disciplina Privacy GDPR con occhi differenti, consapevoli dell’esistenza di un ampio potere di interpretazione dei principi contenuti al suo interno.

– Intervento di Luca Bolognini di ICT Legal Consulting al Convegno Privacy Unolegal 2017 –

Torna in alto