GDPR: principio di accountability e risvolti applicativi in ambito imprenditoriale

Il 25 Maggio 2018 è entrato in vigore il Regolamento europeo n. 679/2016, c.d. GDPR acronimo di “General Data Protection Regulation”. Il decreto di armonizzazione della normativa nazionale al GDPR – il n. 101/2018 – è stato pubblicato in Gazzetta Ufficiale solamente lo scorso 4 settembre, comportando tale ritardo non poche difficoltà nell’interpretazione della neo introdotta disciplina.

L’allineamento alle nuove disposizioni in materia di dati personali trova il suo asse portante nel principio di “accountability”, ossia di “responsabilizzazione” del titolare e del responsabile del trattamento. L’importanza di tale concetto è stata ampliamente ribadita nelle prassi applicative e nelle linee guida, si pensi all’ISO 29100 o al Framework dell’Asian Pacific Economic Cooperation (APEC), che ha già dato inizio al processo di creazione di un complesso di regole in vista del concreto adeguamento al GDPR.

Il termine “accountability”, appartenente al mondo anglosassone, viene ivi principalmente utilizzato in ambito finanziario, di revisione dei conti e in altri domini specifici. Risulta arduo, tuttavia, attribuire  un significato pratico alla parola in questione, essendo essa di non semplice traduzione. Come può intuirsi facilmente, la soluzione di tale problematica appare di non poco conto in un’ ottica di armonizzazione, essendo questa messa fortemente a rischio da un’interpretazione variabile del termine.

Nel settore della tutela e protezione dei dati personali, il concetto di “accountability” ricopre sicuramente un ruolo fondamentale: è solo grazie ad essa che è possibile addivenire alla corretta e completa  definizione del “giusto” comportamento che il titolare ed il responsabile del trattamento dovranno adottare nel corso di un qualsiasi processo organizzativo o tecnico alla base di un trattamento dati.

Ci si chiede se risulti quindi sufficiente tradurre “accountability” con il sostantivo italiano “responsabilità” o “responsabilizzazione”. Il termine più in linea con quello anglosassone sembrerebbe in realtà “rendicontazione”, concetto di cui la “responsabilizzazione” costituisce solo un aspetto. Il nodo cruciale risiede nella dimostrazione del modo in cui viene esercitata la responsabilità e nella sua verificabilità. La  responsabilizzazione ed il rendere conto sono entrambi elementi imprescindibili di una governance vincente. Concretamente, il concetto di accountability può dunque realizzarsi attraverso un approccio proattivo, volto a prevenire un eventuale risarcimento del danno derivante dal trattamento dei dati personali e  teso a  dimostrare di aver fatto tutto il possibile per evitarlo (onere della prova richiesto dall’art. 5 della nuova normativa).

E’ chiaro quindi che la accountability – pur essendo nata specificamente con riferimento alle informazioni patrimoniali ed economico-finanziarie – investe tutte le operazioni di un’organizzazione aziendale, componendosi di  almeno  tre elementi: la trasparenza, intesa come possibilità di accedere alle informazioni, la responsività, ossia la capacità di far fronte alle questioni poste dagli stakeholders e la compliance, l’abilità di far rispettare agli operatori addetti al trattamento dati le norme vigenti in materia.

In considerazione dell’enorme pericolo connesso al trasferimento, alla raccolta e all’archiviazione dei dati, si ritiene fondamentale procedere ad una valutazione dei rischi su base permanente ed individuare un modello precipuo per la risoluzione giudiziale dei contenziosi, simile a quello previsto dal d.lgs. 231/2001.

Proprio tale esigenza ha posto l’attenzione degli studiosi al Privacy Impact Assessment, strumento teso alla valutazione dei fattori di rischio ed  al ruolo da essi occupato nel modello di business e volto all’adozione delle decisioni più idonee alla salvaguardia dei dati e dei relativi interessi. Per poter raggiungere tale  obiettivo e garantire la compliance, tutte le aziende che operano su banche dati (clienti, dipendenti e fornitori, consulenti), effettuano attività di marketing attraverso la profilazione online dei clienti, trattano dati sensibili e/o giudiziari, utilizzano apparecchiature tecnologiche di geolocalizzazione e georeferenziazione, videosorveglianza, dovranno sostenere diversi costi.

Innanzitutto saranno obbligate ad inserire nel proprio contesto aziendale la figura del Data Protection Officer. Tra le attività principali che questi dovrà svolgere emergono l’individuazione di un organigramma privacy, la previsione di specifiche policy e l’analisi dell’impatto delle nuove tecnologie (quali Big data, Cloud Computing, Insurance Advisernet, sistemi automatici decisionali, ecc.) nell’ambito del trattamento dati.

Proprio l’adozione delle suddette infrastrutture IT comporterà i maggiori costi, dovuti inoltre ai tempi ristrettissimi – 72 ore –  entro i quali un eventuale data breach dovrà essere notificato alle autorità locali, così come previsto dall’art. 33 della nuova normativa.

Tutte queste misure preventive permetteranno però di evitare le elevatissime sanzioni pecuniarie contemplate dall’art. 83 del Regolamento in questione che, nel caso di gravi violazioni, oscilleranno tra i 10 ed i 20 milioni di euro per i singoli e tra il 2% ed il 4% del fatturato per le imprese.

Sebbene tutto questo sembri andare a svantaggio soprattutto delle piccole e medie realtà imprenditoriali, a ben vedere si tratta di un investimento fondamentale. Nel contesto in cui viviamo, ossia in una società che sta effettuando sempre più velocemente il passaggio dal 2.0 al 3.0, che vive sempre di più grazie ai dati e all’intelligenza artificiale –  il c.d. “nuovo petrolio” – occorre comprendere che proteggere i dati significa anche assicurarne la qualità, il costante aggiornamento e la loro adeguatezza alle finalità perseguite. Ecco perché applicare il GDPR in  modo proattivo è oggi l’investimento più importante che un’impresa possa fare.