Il c.d. principio di accountability (o principio di responsabilizzazione) è un pilastro fondamentale della privacy, introdotto dal Regolamento generale sulla protezione dei dati n. 679 del 2016, c.d. GDPR (acronimo di General data protection regulation), al quale tutte le nostre aziende sono soggette e che comporta pesanti sanzioni sia amministrative che penali, se violato. Il concetto di accountability comporta una strutturale revisione del concetto di conformità privacy di un’azienda, perché presuppone uno sforzo tangibile e massiccio nella gestione dei dati personali.
Assistiamo al passaggio da un sistema caratterizzato da documentazione standard, incentrato sulla conformità formale più che sostanziale, a un sistema basato sul rischio. Per arginare il rischio, il GDPR individua due figure con specifici incarichi all’interno dell’azienda. La prima è il Titolare del trattamento, cioè colui che decide perché e come devono essere trattati i dati delle persone. Per esempio: io sono un’avvocata Titolare del trattamento dei dati dei miei clienti, perché devo tutelare i loro diritti. Quando opera una società di capitali, per esempio una S.R.L. o una S.P.A., la società sarà Titolare del trattamento. In caso di società di persone, come la S.N.C. invece, l’imprenditore sarà anche Titolare del trattamento, con conseguente incremento della responsabilità a suo carico.
Il principio di accountability rappresenta una spinta innovativa verso l’efficace tutela dei dati personali, visto che affida ai singoli Titolari del trattamento l’incombente di decidere in via esclusiva il modo, i limiti e le garanzie del trattamento. Questo significa che se prima del GDPR bastava implementare le regole generali all’interno delle aziende per essere compliant, cioè conformi alle previsioni normative, oggi le cose stanno in modo diverso. È essenziale documentare i processi aziendali, i comportamenti specifici e le mosse concrete, che poniamo in essere per rispettare il GDPR all’interno delle aziende. Per esempio l’articolo 30 del GDPR introduce il registro dei trattamenti, come strumento per monitorare i trattamenti dei dati che fa un’azienda sotto la responsabilità del Titolare del trattamento o della diversa figura del Responsabile del trattamento e quindi attenuare il rischio per i diritti e le libertà delle persone.
Salvo rarissime eccezioni, un approccio basato sul rischio deve considerare il trattamento nel suo complesso, analizzando la tipologia dei dati trattati, chi sono gli interessati, che caratteristiche hanno l’azienda e il suo business, non solo la quantità dei dati trattati. Pensiamo, ad esempio, a un’azienda che lavora molto con i consumatori, cioè con le persone fisiche. Essa avrà molti più adempimenti e correrà molti più rischi di un’azienda che lavora solo con altre aziende, soprattutto se effettua trattamenti su larga scala. Questo non significa che le aziende che trattano pochi dati personali siano escluse dagli adempimenti. Un’azienda che ripara macchinari ospedalieri tratterà solo i dati dei pazienti registrati nei macchinari stessi, però dovrà adottare gli stessi adempimenti di un ospedale. Il dato sanitario, infatti, è considerato particolarmente sensibile e richiede particolare attenzione.
In conclusione, le norme dettate dal GDPR e dal Codice della Privacy tutelano diritti fondamentali della persona, che le esigenze commerciali delle aziende hanno prevaricato troppo a lungo. Ora nella progettazione dei trattamenti, per esempio quando impostiamo un nuovo progetto di business in azienda, dobbiamo prima di tutto porci il problema della protezione dei dati personali.