Principi

Shape 5 Live Search

logo

L'art. 5 del regolamento europeo aggiunge il principio di responsabilizzazione (accountability) del titolare del trattamento

Il regolamento europeo, infatti, sposta il fulcro della normativa in materia di protezione dei dati personali dalla tutela dell'interessato e dei suoi diritti alla responsabilizzazione del titolare del trattamento. Occorre menzionare che accountability in inglese vuol dire "dover rendere conto del proprio operato", per cui è qualcosa in più della semplice responsabilizzazione. 

Il titolare del trattamento, quindi, tenuto conto della natura, del contesto e della finalità del trattamento, dovrà garantire, ed essere in grado di dimostrarlo (appunto, renderne conto) che il trattamento è effettuato non solo in maniera conforme alla normativa ma in maniera tale da non determinare rischi e quindi gravare sui diritti e le libertà degli interessati. In tal senso si supera la concezione formalistica del passato, quando bastava avere il consenso per sentirsi in regola, perché oggi l'essere conformi al regolamento non è più sufficiente, in quanto il titolare ha sempre la responsabilità di tutelare l'interessato e la collettività dai rischi impliciti del trattamento. Infine, non è sufficiente adottare misure di conformità alle norme, ma occorre anche documentarle (principio di trasparenza) e garantirne l'efficacia. 

Il regolamento europeo propone un approccio basato sul rischio, inteso come misura delle conseguenze del trattamento sui diritti e le libertà dell'interessato. In tal senso il titolare dovrà innanzitutto progettare i trattamenti fin dall'inizio (privacy by design e by default) in modo da limitare il più possibile i rischi, eventualmente procedendo ad una valutazione di impatto preventiva, ed adottando le misure di sicurezza ritenute adeguate. Anche qui si nota la centralità del ruolo del titolare che opera da sé tutte queste valutazioni, salvo controlli ex post dell'autorità di controllo, e decide in autonomia le misure da adottare, e quindi le modalità e i limiti del trattamento, alla luce dei principi previsti dal regolamento. 

In tale prospettiva l'adozione di codici di condotta o certificazioni può essere un mezzo per dimostrare la conformità. 

 

Obblighi

Tra gli obblighi imposti al titolare dal principio di responsabilizzazione abbiamo: 
- progettazione del trattamento limitando i rischi e con la privacy per impostazione predefinita
- eventuale valutazione di impatto (DPIA) del trattamento; 
- adozione delle misure di sicurezza adeguate in base al rischio; 
- formazione del personale
- designazione di responsabili che forniscano garanzie sufficienti; 
- eventuale nomina del DPO
- trasparenza e informazione agli interessati; 
- notifica delle violazioni dei dati alle autorità di controllo; 
- tutele per i trasferimenti dei dati all'estero
- documentazione delle attività di trattamento (registri).