Il principio dell’accountability in materia di privacy: agire non basta, occorre documentare ogni intervento al fine di provare la compliance
L’adeguamento alla normativa in materia di trattamento dati personali passa per il principio di responsabilizzazione del titolare e oggi anche del responsabile del trattamento. Si tratta di un principio su cui il Gruppo Art29 aveva già ampiamente discusso nel proprio parere del 2010 n. 3 e di cui è stata molto spesso ribadita l’importanza in prassi applicative e in numerosi provvedimenti e linee guida. Del concetto di accountability si parla anche nella ISO 29100 e nel Privacy Framework dell’Asian Pacific Economic Cooperation (APEC), che attualmente ha messo in moto un processo di creazione del sistema di regole sulla privacy cross-border in vista dell’adeguamento al GDPR, un prospetto simile al Privacy Shield.
Nel proprio parere, a suo tempo espresso, il GruppoArt29 proponeva alla Commissione Europea di attribuire una maggiore enfasi proprio a questo principio, prevedendo l’inserimento di nuove disposizioni che ne regolassero l’applicabilità nell’ambito dei trattamenti di dati personali in una eventuale revisione della direttiva n. 46/95; introdurre questo principio, diceva all’epoca il GruppoArt29, significherebbe “rafforzare il ruolo del titolare del trattamento e conferirgli maggiore responsabilità […]. A complemento del principio, potrebbero essere istituiti requisiti aggiuntivi specifici che mirano a mettere in atto garanzie di protezione dei dati o a garantire la loro efficacia”.
Con il regolamento n. 679, quanto auspicato dal Gruppo di lavoro dei Garanti europei, si è quindi concretizzato e infatti, tutte le nuove disposizioni normative in materia di trattamento dati personali, secondo un approccio di natura sistemica, sono permeate dal concetto dell’accountability.
In una parola, l’accountability che il regolamento n. 679 pone a carico del titolare del trattamento in primis, ma anche del responsabile del trattamento, significa non solo adottare un comportamento responsabile in relazione al trattamento dei dati personali, ma anche “provare”, ovvero dimostrare di aver svolto, dare effettività alle operazioni documentando tutti gli interventi effettuati in risposta agli obblighi previsti dal regolamento e alle prassi operative in materia di privacy. Non basta dunque implementare e intervenire realisticamente per regolare i processi, è altrettanto necessario procurarsi gli strumenti per provare, in sede di eventuale ispezione, di averlo fatto e di aver condotto le dovute analisi preliminari.
Essere accountable, vuol dire che durante una verifica, tesa a controllare la conformità dell’organizzazione aziendale al regolamento privacy, anche in considerazione del fatto che la misura delle sanzioni inflitte dovrà tener conto dell’entità della violazione, in quanto dovrà essere ad essa proporzionata, l’autorità valuterà di certo in maniera differente la completa omissione degli interventi da svolgere da un lato e dall’altro, il loro effettivo compimento, anche se svolto in maniera non del tutto conforme e adeguata. In altri termini, se un titolare del trattamento ha effettuato degli audit e delle valutazioni sul rischio prima di assumere contromisure per la protezione dei dati e dei diritti degli interessati, ma non ha prodotto alcuna documentazione che provi che tali operazioni sono state svolte in via preliminare, la sua operazione di valutazione sarà stata vana, in quanto sarà considerata come mancante, diverso è il caso in cui le analisi preliminari e le valutazioni siano state condotte, ma le contromisure adottate risultino non conformi; una sanzione ci sarà in entrambi i casi, ma la sua portata sarà certo differente.
Così ad esempio, se un’organizzazione ritenesse superfluo condurre una DPIA, sarà opportuno sviluppare comunque la fase di risk assessment e avere documenti alla mano che provino che tale fase è stata condotta.
Rispetto del principio dell’accountability
Per dimostrare di aver rispettato il principio dell’accountability pertanto è importantissimo procurarsi un dossier che attesti di aver condotto opportunamente le verifiche sulla situazione vigente in azienda per valutare lo scarto rispetto a ciò che è richiesto dalle norme. Non solo misure organizzative e tecniche per proteggere i dati, ma anche analisi dunque e prove del fatto che queste analisi sono state compiute: che sono state verificate le procedure interne prima di adottare le contromisure organizzative e tecniche; analisi condotte sulle finalità del trattamento, sulle categorie di dati trattati, procurandosi la documentazione con cui attestare di aver svolto le valutazioni dei rischi, del loro livello di gravità e della possibilità di accadimento concreto; effettive richieste di pareri al DPO, ottenimento di certificazioni, conformità a codici di condotta. In relazione ai dipendenti ad esempio, non è solo sufficiente implementare permessi mediante strumenti tecnologici e adeguati privilegi nel rispetto del principio di minimizzazione, ma è necessario anche formare i dipendenti sulle norme e sui principi relativi alla privacy, istruirli sui comportamenti da adottare e su quelli vietati, renderli coscienti delle policy interne, mediante mezzi dimostrabili.
Procurarsi l’evidenza del fatto che le analisi e le valutazioni preliminari sono state compiute effettivamente, prima di adottare le misure richieste, che è stata effettuata la formazione dei dipendenti, che sono state rese note le policy e le prassi operative non solo all’interno dell’organizzazione, ma anche ad eventuali terzi cui vengono trasferiti i dati personali (es. responsabili del trattamento che trattano dati per conto del titolare) potrà di certo influire sul giudizio dell’autorità in sede di applicazione delle sanzioni e questo perché il principio dell’accountability è strettamente legato al concetto di rischio, nozioni collegate da un rapporto inversamente proporzionale: più alto sarà il livello di accountability di un titolare del trattamento e la sua dimostrabilità, minore sarà il rischio potenziale presente in quell’organizzazione rispetto alla violazione dei dati personali e rispetto ad eventuali danni che essa potrebbe comportare sui diritti e le libertà degli interessati, come minori saranno anche le eventuali sanzioni.
Per essere veramente accountable in materia di trattamento dei dati personali occorre modificare le abitudini dei soggetti, intervenire sulla filosofia aziendale, adottare le prassi operative del buon governo, secondo la logica di prevenzione del rischio, implementando processi personalizzati concreti, verificabili e misurabili. Processi che andranno periodicamente controllati, verificati, aggiornati e adattati a tutto ciò che di nuovo accade in azienda e che può, in qualche modo, incidere sui dati personali.