Accountability: le principali misure organizzative secondo best practice
di Vittoria Basilavecchia
Introduzione
Il sistema di gestione privacy delineato dal Regolamento (UE) 2016/679[1](di seguito, il Regolamento o GDPR) si fonda, tra gli altri, sul principio di responsabilizzazione (accountability) del titolare e del responsabile del trattamento, che impone a tali soggetti di mettere in atto misure adeguate ed efficaci e di essere in grado di dimostrare che il trattamento sia effettuato in conformità con le disposizioni di cui al Regolamento.
Nei successivi paragrafi si intende fornire una definizione del principio di accountability e della portata precettiva dello stesso, indicando successivamente alcune misure organizzative che ne garantiscano il rispetto ed approfondendo in particolare quelle consistenti nella nomina di un DPO e nell’adesione a codici di condotta e a meccanismi di certificazione.
Il principio di accountability: (tentativo di) definizione
Come riconosciuto dallo stesso Working Party nell’Opinion 3/2010[2], appare particolarmente difficoltoso definire l’esatto significato, in termini pratici, del principio di accountability.
Tale principio non costituisce una novità del Regolamento, che pure lo richiama espressamente all’art. 5, paragrafo 2.
Già nel 1980, le Privacy Guidelines adottate dall’OECD (Organisation for Economic Cooperation and Development) prevedevano che “A data controller should be accountable for complying with measures which give effect to the principles stated above”[3].
Successivamente, nella Direttiva 95/46/CE[4], all’art. 6, paragrafo 2, il legislatore europeo ha previsto che “Il responsabile del trattamento è tenuto a garantire il rispetto delle disposizioni del paragrafo 1”.
Un ulteriore riferimento è inoltre contenuto nelle ISO 29100:2011[5], le quali chiariscono che il trattamento di dati personali comporta un obbligo in capo ai soggetti che lo effettuano di adottare misure concrete e praticheal fine di garantire la tutela dei dati stessi.
Come si è detto, il Regolamento, menziona espressamente l’accountability all’art. 5.2, il quale stabilisce che “The controller shall be responsible for, and be able to demonstrate compliance with, paragraph 1 [principi applicabili al trattamento di dati personali, ndr](‘accountability’)”.
Nella versione italiana del Regolamento, il termine utilizzato è quello di “responsabilizzazione”, mentre la versione francese parla di “responsabilité”. Tali scelte lessicali testimoniano come, in linea di principio, la nozione di accountability sia inscindibilmente legata a quella di responsabilità.
Tuttavia, tale concetto, pur rappresentando un nucleo centrale del principio di accountability, non ne esaurisce la portata, tanto che in molti preferiscono tradurre il termine con quello di “rendicontazione”[6].
In tal senso, appare particolarmente significativa la versione spagnola del Regolamento, che fa riferimento alla c.d. “responsabilidad proactiva”. La normativa vigente impone infatti a titolari e responsabili di adottare comportamenti proattivi, da porre in essere non solo a seguito del verificarsi di violazioni ma durante ogni fase del trattamento e che garantiscano il rispetto delle prescrizioni e l’applicazione dei principi di cui al GDPR.
La struttura del principio di accountability secondo il Working Party
Con riferimento all’esatta portata prescrittiva dell’art. 5.2 del Regolamento, risulta utile quanto esposto nella citata Opinion 3/2010 del Working Party. Quest’ultima delinea un’architettura del principio di accountability articolata su due livelli.
Ad un primo livello, che si potrebbe definire di natura obbligatoria, vengono ricondotti quei requisiti di legge vincolanti per tutti i titolari del trattamento, ai quali gli stessi sono necessariamente tenuti ad adeguarsi al fine di garantire il rispetto delle prescrizioni e dei principi di cui al Regolamento, anche per evitare di incorrere nelle sanzioni in esso previste.
A sua volta, tale primo livello si compone di due elementi essenziali, rappresentati in particolare dalla necessità di implementare le misure e le procedure richieste dal Regolamento e da quella di tenere traccia delle stesse in modo da poterne, all’occorrenza, dimostrare l’adozione e la correttezza.
Un secondo livello del principio è invece rappresentato dalle misure adottate su base volontaria da parte del titolare del trattamento. Si tratta, dunque, di quegli accorgimenti che, seppur non richiesti in maniera cogente dalla normativa, costituiscono espressione di quel comportamento proattivo che fonda il principio di accountability, superando pertanto il livello minimo imposto per legge.
Costituiscono un esempio di tali misure, che è dunque buona prassi adottare, la nomina di un Data Protection Officer anche ove non ricorra alcuna delle ipotesi di cui all’art. 37.1, o la previsione di tempi di risposta particolarmente brevi nel caso in cui l’interessato eserciti il proprio diritto di accesso ai sensi dell’art. 15.
I contenuti del principio di accountability: le misure tecniche ed organizzative adeguate
Strettamente connesso all’art. 5, paragrafo 2 è poi l’art. 24 in materia di responsabilità del titolare del trattamento, il quale impone al titolare di mettere in atto e di essere in grado dimostrare che il trattamento venga effettuato nel rispetto del Regolamento. La norma indica inoltre i parametri da considerare a tal fine, individuati, in particolare, nella natura, ambito di applicazione, contesto, finalità del trattamento, nonché nei rischi dallo stesso presentati ed aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche.
Alla luce di tale disposizione, che costituisce espressione dell’approccio basato sul rischio che caratterizza tutta la normativa[7], si configura un duplice obbligo, che si esplica, da un lato, verso gli interessati e, dall’altro, principalmente, verso le autorità di controllo, alle quali deve all’occorrenza essere fornita prova dell’adozione degli adempimenti prescritti dalla legge e di quelli volti a dimostrare la responsabilizzazione del titolare.
Con riferimento ai destinatari della norma, la stessa fa espresso riferimento solo al titolare del trattamento, trascurando quindi il responsabile. Tuttavia, vi sono una pluralità di disposizioni dalle quali si desume come anche quest’ultimo sia vincolato al rispetto del principio di accountabilty. Anche il responsabile è infatti obbligato a tenere il registro delle attività di trattamento[8], nonché alla nomina di un DPO[9]. Inoltre, l’art. 28 impone al responsabile di adottare tutte le misure richieste per garantire la sicurezza del trattamento[10].
Ma quali sono esattamente le misure che titolare e responsabile devono adottare per assolvere gli obblighi imposti dalla normativa ed evitare dunque di incorrere in sanzioni?
L’approccio del legislatore è stato quello di evitare, volontariamente, di fornire un elenco di tali misure[11]. Ciò deriva dal fatto che il concetto di accountability è estremamente flessibile e la valutazione circa la compliance da parte del titolare deve, di volta in volta, essere effettuata facendo necessariamente riferimento al singolo caso concreto, valutando a tal fine una pluralità di fattori, quali, in particolare, il rischio presentato dal trattamento e la natura dei dati oggetto dello stesso.
Riferimenti alle possibili misure da adottare per garantire la compliance al Regolamento sono contenuti, tra gli altri, nelle già menzionate ISO 29100:2011 e nell’Opinion 3/2010.
In particolare, nei documenti citati, vengono riportati, tra i possibili accorgimenti, quelli consistenti nel:
- prevedere policy e procedure in materia di protezione dei dati personali che vincolino i soggetti coinvolti nel trattamento;
- ripartire gli incarichi relativi all’implementazione delle policy e delle procedure previste, nonché i compiti e le responsabilità tra i soggetti coinvolti nel trattamento;
- nel caso di trasferimento di dati a terze parti, vincolare le stesse a garantire un livello di tutela dei dati pari a quello assicurato dal titolare, ad esempio attraverso la stipula di un contratto sul punto;
- assicurare le risorse necessarie per la gestione della privacy, garantendo un’adeguata formazione del personale;
- informare gli interessati del verificarsi di eventuali violazioni (c.d. data breach), ivi incluse le misure adottate per porvi rimedio. Peraltro, tali misure devono essere adeguate al rischio presentato dalla violazione, conciliando tale esigenza con quella di intervenire nel minor tempo possibile;
- condurre una valutazione d’impatto con riferimento a quei trattamenti che presentino un rischio elevato.
Benché si tratti di una lista non esaustiva contenuta in documenti non dotati di efficacia vincolante, le misure appena citate costituiscono un utile riferimento per determinare quali oneri e quali adempimenti il principio di accountability comporti in capo al titolare e al responsabile del trattamento.
Ulteriori strumenti forniti dal GDPR per promuovere la compliance e garantire il rispetto del principio di accountability sono costituiti da i registri delle attività di trattamento (art. 30), dalla valutazione di impatto o Data Protection Impact Assessment (art. 35), nonché dai principi di privacy by design e di privacy by default (art. 25)[12]. A questi si aggiungono la nomina di un DPO e l’adesione a codici di condotta e a meccanismi di certificazione[13].
In particolare: la nomina del DPO
Il Data Protection Officer (DPO o, nella versione italiana del Regolamento, RDP, responsabile per la protezione dei dati)[14]è un soggetto, interno o esterno all’azienda[15], nominato sulla base della conoscenza specialistica in materia di protezione dei dati personali e delle capacità di assolvere i compiti di cui all’art. 39 ed indipendente rispetto al titolare e al responsabile. Tale ultimo requisito comporta che il titolare ed il responsabile non possano impartire istruzioni al RDP, anche qualora si tratti di un soggetto interno all’azienda[16].
Il DPO deve essere coinvolto in tutte le questioni che attengano alla protezione dei dati personali e, in particolare, deve essere consultato con riferimento alla valutazione d’impatto, ai sensi dell’art. 35.2. Il WP ha chiarito che il coinvolgimento del DPO avviene, ad esempio, garantendone la presenza quando vengano assunte decisioni in materia di privacy, nonché assicurandosi che lo stesso venga informato e consultato in caso di violazioni[17].
Qualora venga nominato un responsabile per la protezione dei dati, titolare e responsabile devono garantire che lo stesso disponga delle risorse necessarie, sia finanziarie sia in termini di tempo sia, eventualmente, in termini di personale, al fine di eseguire i propri compiti.
Questi ultimi sono puntualmente elencati all’art. 39, che prevede che il DPO debba, almeno:
- fornire consulenza in merito agli obblighi derivanti dalla normativa applicabile in materia di protezione dei dati;
- sorvegliare sulla corretta applicazione di tale normativa;
- fornire un parere con riferimento alla valutazione d’impatto, ove richiesto;
- cooperare e fungere da punto di contatto con l’autorità di controllo;
Il nominativo e i dati di contatto del DPO devono essere comunicati tanto agli interessati quanto alle autorità di controllo. Con riferimento agli interessati, la comunicazione può avvenire attraverso l’informativa, che ai sensi dell’art. 13 deve necessariamente includere tale indicazione. Per quanto riguarda invece la comunicazione all’autorità di controllo, il Garante mette a disposizione una procedura online[18].
Alla luce di quanto sopra, è evidente come il DPO costituisca la “pietra angolare” del principio di accountability, in quanto appunto facilita l’adeguamento alla normativa ed agisce quale punto di contatto tra il titolare e le autorità di controllo.
Ciò potrebbe indurre il titolare a nominare un DPO anche quando tale nomina non sia prevista dalla legge[19]. Occorre tuttavia ricordare che, al di fuori dei casi di cui al paragrafo 1 dell’art. 37, è possibile scegliere se nominare o meno il DPO ma, una volta che il titolare o il responsabile abbiano scelto di avvalersene, dovranno essere necessariamente rispettate tutte le disposizioni che disciplinano tale figura, assicurandosi che il RDP sia tempestivamente ed adeguatamente coinvolto in tutte le questioni relative al trattamento dei dati.
L’adesione a codici di condotta e i meccanismi di certificazione
Gli art. 40 e 42 del Regolamento prevedono che gli Stati membri, le autorità di controllo, il comitato e la Commissione debbano incoraggiare:
- l’elaborazione di codici di condotta specifici sulla base del settore di destinazione e delle esigenze delle micro, piccole e medie imprese, che contribuiscano alla corretta applicazione del Regolamento;
- l’istituzione di meccanismi di certificazione della protezione dei dati nonché di sigilli e marchi di protezione dei dati, in particolare a livello europeo, finalizzati a dimostrare la conformità del trattamento rispetto alle disposizioni di cui al GDPR.
I vantaggi dell’adesione a codici di condotta e a meccanismi di certificazione risiedono principalmente nel fatto che tale adesione può essere utilizzata come elemento per dimostrare il rispetto degli obblighi incombenti sul titolare del trattamento, come espressamente stabilito dall’art. 24.3 del Regolamento. Coerentemente con tale disposizione, l’art. 83 prevede infatti che tra gli elementi da tenere in considerazione “al momento di decidere se infliggere una sanzione amministrativa pecuniaria e di fissare l’ammontare della stessa”, rientri proprio l’adesione a codici di condotta e a meccanismi di certificazione.
Inoltre, codici di condotta e meccanismi di certificazione costituiscono una delle garanzie adeguate per il trasferimento di dati verso Paesi terzi ai sensi dell’art. 46[20].
Conclusioni
Alla luce di quanto detto, quindi, è possibile concludere che titolari e responsabili del trattamento devono garantire il rispetto del principio di accountability:
- adottando misure tecniche ed organizzative adeguate;
- tenendo sempre pronta e aggiornata la documentazione necessaria a dimostrare, all’occorrenza, l’adozione di tali misure.
Il Regolamento non include uno specifico elenco, tassativo o anche solo esemplificativo, delle possibili misure da adottare per garantire la compliance, dovendosi fare necessariamente riferimento al caso concreto ed in particolare al rischio, alla natura, allo scopo e alla finalità del trattamento, nonché alla tipologia di dati trattati.
Tenuta del registro dei trattamenti, valutazioni d’impatto, adeguamento ai principi di privacy by design e by default, nomina di un DPO, formazione dei soggetti coinvolti nel trattamento, adesione a codici condotta e a meccanismi di certificazione, predisposizione ed adozione di procedure dettagliate relative al trattamento dei dati personali sono alcune delle principali misure che favoriscono l’accountability e che dunque è bene implementare per garantire il rispetto della normativa in materia di protezione dei dati, anche al fine di diminuire i rischi di incorrere in sanzioni.
[1]Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)
[2]Opinion 3/2010 on the Principle of accountability, adottato il 13 luglio 2010 dal Article 29 Data Protection Working Party, consultabile al link https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2010/wp173_en.pdf.
[3]Guidelines governing the protection of privacy and transborder flows of personal data (the “Privacy Guidelines”), entrate in vigore il 23 settembre 1980, consultabili al link https://www.garanteprivacy.it/documents/10160/10704/1799578.
[4]Direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, consultabile al link https://eur-lex.europa.eu/legal-content/it/TXT/?uri=CELEX%3A31995L0046.
[5]ISO/IEC 29100:2011(E), Information technology – Security techniques – Privacy framework, consultabili al link https://www.iso.org/standard/45123.html.
[6]Tra gli altri, AAVV, Privacy Protezione e trattamento dei dati, a cura di SOFFIENTINI M., IPSOA Manuali, Wolters Kluwer, 2016, p. 137.
[7]Riccio, Scorza, Belisario (a cura di), GDPR e normativa privacy, Commentario, Commentari IPSOA, Wolters Kluwer, I edizione, 2018.
[8]Art. 30.2 del Regolamento.
[9]Art. 37 del Regolamento.
[10]Art. 28.2 lett. c).
[11]Si ricorda che, ai sensi dell’art. 27, comma 1, lett. d) del D. Lgs. 101/2018, l’allegato B al D. Lgs. 196/2003 in materia di misure minime di sicurezza è stato abrogato.
[12]Per una trattazione più approfondita di tali argomenti si rinvia rispettivamente ai successivi capitoli 2, 7 e 9.
[13]European Union Agency for Fundamental Rights e Consiglio d’Europa, Handbook on data protection law, Aprile 2018, consultabile al link https://www.echr.coe.int/Documents/Handbook_data_protection_ENG.pdf.
[14]Art. 37, 38 e 39 del Regolamento.
[15]Più precisamente, il Regolamento prevede che il DPO possa essere dipendente del titolare o responsabile oppure essere nominato dagli stessi sulla base di un contratto di servizi.
[16]Considerando 97 del Regolamento.
[17]Linee-guida sui responsabili della protezione dei dati (RPD) – WP243 adottate dal Gruppo di lavoro Art. 29 il 13 dicembre 2016, consultabili al link https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=612048.
[18]La procedura è disponibile al linkhttps://servizi.gpdp.it/comunicazione-rpd/.
[19]In particolare, l’art. 37 del Regolamento stabilisce che il DPO debba essere nominato quando:
“a)il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali;
- b) le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; oppure
- c) le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9 o di dati relativi a condanne penali e a reati di cui all’articolo 10”.
[20]Più precisamente, l’art. 46 stabilisce che l’adesione a codici di condotta e/o a meccanismi di certificazione “Possono costituire garanzie adeguate di cui al paragrafo 1 senza necessitare di autorizzazioni specifiche da parte di un’autorità di controllo”. Per una trattazione più approfondita dell’argomento si rinvia al successivo capitolo X.
Autore