L'art. 5 del regolamento europeo aggiunge, tra i vari principi da osservare nell'operare un trattamento di dati, il principio di responsabilizzazione (accountability) del titolare del trattamento.
Il regolamento europeo, infatti, sposta il fulcro della normativa in materia di protezione dei dati personali dalla tutela dell'interessato e dei suoi diritti alla responsabilizzazione del titolare del trattamento. Occorre precisare che accountability in inglese vuol dire "dover rendere conto del proprio operato", per cui è qualcosa in più della semplice responsabilizzazione.
Il titolare del trattamento, quindi, tenuto conto della natura, del contesto e della finalità del trattamento, dovrà garantire, ed essere in grado di dimostrarlo (appunto, renderne conto), che il trattamento è effettuato non solo in maniera conforme alla normativa ma in maniera tale da non determinare rischi e quindi gravare sui diritti e le libertà degli interessati. Si supera, quindi, la concezione formalistica del passato, quando bastava avere il consenso per sentirsi in regola, perché oggi l'essere conformi al regolamento non è più sufficiente, in quanto il titolare ha sempre la responsabilità di tutelare l'interessato e la collettività dai rischi impliciti del trattamento. E non è sufficiente adottare misure di conformità alle norme, ma occorre anche documentarle (principio di trasparenza) e garantirne l'efficacia.
Il regolamento europeo propone un approccio basato sul rischio, inteso come misura delle conseguenze del trattamento sui diritti e le libertà dell'interessato. In tal senso il titolare dovrà innanzitutto progettare i trattamenti fin dall'inizio (privacy by design e by default) in modo da limitare il più possibile i rischi, eventualmente procedendo ad una valutazione di impatto preventiva, ed adottando le misure di sicurezza ritenute adeguate. Anche qui si nota la centralità del ruolo del titolare che opera da sé tutte queste valutazioni, salvo controlli ex post dell'autorità di controllo, e decide in autonomia le misure da adottare, e quindi le modalità e i limiti del trattamento, alla luce dei principi previsti dal regolamento.
In tale prospettiva l'adozione di codici di condotta o certificazioni può essere un mezzo per dimostrare la conformità.
Obblighi
Tra gli obblighi imposti al titolare in base al principio di responsabilizzazione abbiamo:
- documentazione delle attività di trattamento tramite la corretta tenuta dei registri delle attività di trattamento effettuate;
- analisi dei trattamenti svolti e, se necessario, messa in conformità degli stessi indicando nei registri le attività di analisi e le misure correttiva adottate;
- analisi dei rischi inerenti le operazioni di trattamento, obbligo di adozione delle misure di sicurezza (tecniche e organizzative) adeguate in base al rischio, nonché di dimostrazione che il trattamento è conforme al regolamento (tramite i registri);
- in caso di rischio elevato, obbligo di redazione di una valutazione di impatto (DPIA) del trattamento e di documentazione di tale valutazione;
- obbligo di progettazione del trattamento con privacy per impostazione predefinita, anche in fase di attuazione;
- formazione del personale;
- designazione di responsabili che forniscano garanzie sufficienti;
- eventuale nomina del DPO;
- trasparenza e informazione agli interessati;
- notifica delle violazioni dei dati alle autorità di controllo;
- tutele per i trasferimenti dei dati all'estero.