Con l'introduzione del Regolamento Generale sulla Protezione dei Dati (GDPR), il concetto di Accountability nel GDPR è diventato centrale. Le organizzazioni infatti sono state chiamate a rivedere e rafforzare le loro pratiche di gestione dei dati personali.
Questo principio impone a titolari e responsabili del trattamento dei dati di dimostrare in modo proattivo la conformità al regolamento attraverso misure efficaci di protezione dei dati personali.
Rispetto alla precedente normativa italiana (D.Lgs. 196/2003), che elencava in maniera dettagliata le attività e i compiti da svolgere tramite misure minime di sicurezza e l'Allegato B (disciplinare tecnico), Accountability nel GDPR pone l'accento sulla responsabilizzazione. Il titolare e il responsabile devono agire in completa autonomia per limitare i rischi e contenere i danni, adottando comportamenti reattivi e proattivi.
I principi generali a cui si ispira Accountability nel GDPR sono riservatezza, integrità, disponibilità e resilienza. Questi principi devono essere applicati sia nel caso di trattamento di dati personali sia di dati particolari (che includono dati sensibili, biometrici e genetici).
Il principio di riservatezza implica l’adozione di comportamenti e tecniche volte ad assicurare il riserbo del dato solo a coloro che sono autorizzati in quanto soggetti designati al trattamento dei dati. Le misure richieste variano a seconda che il trattamento faccia riferimento a dati personali o particolari e che sia effettuato su supporto cartaceo o informatico.
Il principio di integrità in materia di Accountability fa invece riferimento alla necessità di mantenere il dato nella sua interezza e garantire che lo stesso sia conservato così come è stato affidato al titolare del trattamento. Le misure da adottare cambiano a seconda della differenziazione del trattamento così come riportato nella tabella che segue.
Il principio di disponibilità si riferisce alla salvaguardia del dato in maniera tale da poter sempre garantire all'interessato il diritto di accesso al suo dato. Deve essere garantita attraverso l’implementazione delle misure che seguono.
Il principio di resilienza deriva dalla fisica ed è letteralmente la capacità che un materiale ha di resistere a fronte di una forza espressa in newton, quindi fino a quale punto il materiale può resistere prima di cedere. Traslando il principio ai dati informatici ci si riferisce alla capacità del computer di resistere agli attacchi online prevedendo l’implementazione di software capaci di porre “muri” virtuali di sicurezza.
Il principio di responsabilizzazione richiede un approccio attivo e continuo nella gestione dei dati personali. Titolari e responsabili devono implementare misure di sicurezza che garantiscano riservatezza, integrità, disponibilità e resilienza dei dati, sia personali che particolari. Questo principio non solo assicura la conformità al GDPR, ma rafforza anche la fiducia degli interessati nella capacità delle organizzazioni di proteggere i loro dati.
Il Responsabile della Protezione dei Dati (DPO) gioca un ruolo cruciale nel garantire l'Accountability nel GDPR. In contesti di rischio elevato o quando il trattamento dei dati è particolarmente delicato, la nomina di un DPO è fondamentale. Questa figura assicura che l’organizzazione sia conforme alle normative e adotti tutte le misure necessarie per proteggere i dati personali.