GDPR: principio di accountability e risvolti applicativi in ambito imprenditoriale
Il 25 Maggio 2018 è entrato in vigore il Regolamento europeo n. 679/2016, c.d. GDPR acronimo di “General Data Protection Regulation”. Il decreto di armonizzazione della normativa nazionale al GDPR – il n. 101/2018 – è stato pubblicato in Gazzetta Ufficiale solamente lo scorso 4 settembre, comportando tale ritardo non poche difficoltà nell’interpretazione della neo introdotta disciplina.
L’allineamento alle nuove disposizioni in materia di dati personali trova il suo asse portante nel principio di “accountability”, ossia di “responsabilizzazione” del titolare e del responsabile del trattamento. L’importanza di tale concetto è stata ampliamente ribadita nelle prassi applicative e nelle linee guida, si pensi all’ISO 29100 o al Framework dell’Asian Pacific Economic Cooperation (APEC), che ha già dato inizio al processo di creazione di un complesso di regole in vista del concreto adeguamento al GDPR.
Il termine “accountability”, appartenente al mondo anglosassone, viene ivi principalmente utilizzato in ambito finanziario, di revisione dei conti e in altri domini specifici. Risulta arduo, tuttavia, attribuire un significato pratico alla parola in questione, essendo essa di non semplice traduzione. Come può intuirsi facilmente, la soluzione di tale problematica appare di non poco conto in un’ ottica di armonizzazione, essendo questa messa fortemente a rischio da un’interpretazione variabile del termine.
Nel settore della tutela e protezione dei dati personali, il concetto di “accountability” ricopre sicuramente un ruolo fondamentale: è solo grazie ad essa che è possibile addivenire alla corretta e completa definizione del “giusto” comportamento che il titolare ed il responsabile del trattamento dovranno adottare nel corso di un qualsiasi processo organizzativo o tecnico alla base di un trattamento dati.
Ci si chiede se risulti quindi sufficiente tradurre “accountability” con il sostantivo italiano “responsabilità” o “responsabilizzazione”. Il termine più in linea con quello anglosassone sembrerebbe in realtà “rendicontazione”, concetto di cui la “responsabilizzazione” costituisce solo un aspetto. Il nodo cruciale risiede nella dimostrazione del modo in cui viene esercitata la responsabilità e nella sua verificabilità. La responsabilizzazione ed il rendere conto sono entrambi elementi imprescindibili di una governance vincente. Concretamente, il concetto di accountability può dunque realizzarsi attraverso un approccio proattivo, volto a prevenire un eventuale risarcimento del danno derivante dal trattamento dei dati personali e teso a dimostrare di aver fatto tutto il possibile per evitarlo (onere della prova richiesto dall’art. 5 della nuova normativa).
E’ chiaro quindi che la accountability – pur essendo nata specificamente con riferimento alle informazioni patrimoniali ed economico-finanziarie – investe tutte le operazioni di un’organizzazione aziendale, componendosi di almeno tre elementi: la trasparenza, intesa come possibilità di accedere alle informazioni, la responsività, ossia la capacità di far fronte alle questioni poste dagli stakeholders e la compliance, l’abilità di far rispettare agli operatori addetti al trattamento dati le norme vigenti in materia.
In considerazione dell’enorme pericolo connesso al trasferimento, alla raccolta e all’archiviazione dei dati, si ritiene fondamentale procedere ad una valutazione dei rischi su base permanente ed individuare un modello precipuo per la risoluzione giudiziale dei contenziosi, simile a quello previsto dal d.lgs. 231/2001.
Proprio tale esigenza ha posto l’attenzione degli studiosi al Privacy Impact Assessment, strumento teso alla valutazione dei fattori di rischio ed al ruolo da essi occupato nel modello di business e volto all’adozione delle decisioni più idonee alla salvaguardia dei dati e dei relativi interessi. Per poter raggiungere tale obiettivo e garantire la compliance, tutte le aziende che operano su banche dati (clienti, dipendenti e fornitori, consulenti), effettuano attività di marketing attraverso la profilazione online dei clienti, trattano dati sensibili e/o giudiziari, utilizzano apparecchiature tecnologiche di geolocalizzazione e georeferenziazione, videosorveglianza, dovranno sostenere diversi costi.
Innanzitutto saranno obbligate ad inserire nel proprio contesto aziendale la figura del Data Protection Officer. Tra le attività principali che questi dovrà svolgere emergono l’individuazione di un organigramma privacy, la previsione di specifiche policy e l’analisi dell’impatto delle nuove tecnologie (quali Big data, Cloud Computing, Insurance Advisernet, sistemi automatici decisionali, ecc.) nell’ambito del trattamento dati.
Proprio l’adozione delle suddette infrastrutture IT comporterà i maggiori costi, dovuti inoltre ai tempi ristrettissimi – 72 ore – entro i quali un eventuale data breach dovrà essere notificato alle autorità locali, così come previsto dall’art. 33 della nuova normativa.
Tutte queste misure preventive permetteranno però di evitare le elevatissime sanzioni pecuniarie contemplate dall’art. 83 del Regolamento in questione che, nel caso di gravi violazioni, oscilleranno tra i 10 ed i 20 milioni di euro per i singoli e tra il 2% ed il 4% del fatturato per le imprese.
Sebbene tutto questo sembri andare a svantaggio soprattutto delle piccole e medie realtà imprenditoriali, a ben vedere si tratta di un investimento fondamentale. Nel contesto in cui viviamo, ossia in una società che sta effettuando sempre più velocemente il passaggio dal 2.0 al 3.0, che vive sempre di più grazie ai dati e all’intelligenza artificiale – il c.d. “nuovo petrolio” – occorre comprendere che proteggere i dati significa anche assicurarne la qualità, il costante aggiornamento e la loro adeguatezza alle finalità perseguite. Ecco perché applicare il GDPR in modo proattivo è oggi l’investimento più importante che un’impresa possa fare.
Salvis Juribus – Rivista di informazione giuridica
Direttore responsabile Avv. Giacomo Romano
Listed in ROAD, con patrocinio UNESCO
Copyrights © 2015 - ISSN 2464-9775
Ufficio Redazione: redazione@salvisjuribus.it
Ufficio Risorse Umane: recruitment@salvisjuribus.it
Ufficio Commerciale: info@salvisjuribus.it
***
Metti una stella e seguici anche su Google News
The following two tabs change content below.
Dott.ssa Maria Laura Lo Fiego.
Laurea Magistrale conseguita presso l'università degli studi di Modena e Reggio Emilia.
Abilitazione all'esercizio della professione forense conseguita presso la Corte di Appello di Roma
Latest posts by Maria Laura Lo Fiego (see all)
- Legge semplificazioni 2019: nuovi scenari nel mondo del diritto - 15 February 2019
- Blockchain: l’innovazione su cui investire - 30 January 2019
- Smart contract e blockchain: il futuro della professione legale - 5 November 2018