Il nuovo Regolamento Europeo sulla protezione dei dati personali si basa sul principio dell’Accountability: ma cos’è questa responsabilizzazione?

Alla base del GDPR possiamo collocare il principio dell’accountability (“responsabilizzazione” in italiano), un principio per cui l’intera responsabilità del singolo dato, è sulle spalle di chi quel dato lo richiede, per fini più o meno necessari, e che dovrà non solo essere il più trasparente possibile circa l’utilizzo che ne farà, ma anche garantire la massima protezione, aggiornata in modo continuativo, di tutte le informazioni personali in suo possesso.

All’art. 5 il GDPR individua infatti il Titolare del trattamento, un soggetto che deve garantire il rispetto de principi proposti dalla disciplina di protezione dei dati personali, quali quelli di trasparenza, di liceità, di limitazione delle finalità e della conservazione, correttezza, riservatezza e integrità.

Oltre a dover affermare tutti questi principi, il Titolare del trattamento dovrà poter comprovarli: non sarà sufficiente infatti assicurare di aver attuato misure tecniche e organizzative di protezione, sarà anche necessario poter dimostrare, di fronte a un’autorità competente, quali misure sono state adottate, perché e a seguito di quale analisi.

Questi provvedimenti inoltre dovranno essere sempre aggiornati e monitorati e questi processi dovranno essere supervisionati dalla figura del DPO che però, salvo in casi di comprovato inadempimento, non avrà nessuna responsabilità sull’uso improprio, del furto o di qualunque cosa capiti a questi dati, sarà responsabile solo il Titolare del trattamento.

Cosa cambia quindi dal Codice Privacy? Innanzitutto mentre il Codice prevedeva, nell’Allegato B, delle misure minime di sicurezza, il GDPR non fornisce alcuna indicazione a riguardo e lascia al Titolare l’onere di individuare di volta in volta, quelle adeguate.

Tutto questo riconduce, come dicevamo, al principio cardine del GDPR: l’Accountability.

Un brusco cambio di prospettiva che prevede che tutta la responsabilità di ciò che accadrà ai dati delle persone, sia di chi li detiene per i più svariati scopi. 

Che i dati vengano utilizzati per gestire la salute del cittadino, per fornirgli un servizio da lui richiesto o per mere finalità pubblicitarie, poco importa al Garante: se li richiedi, devi garantire a chi te li dà la massima protezione, aggiornata e monitorata. 

Ormai lo sappiamo infatti: i dati personali sono il nuovo “oro nero” ed è fondamentale che chi voglia ricavare un guadagno da queste informazioni, sia anche responsabile e consapevole di ciò che sta utilizzando. 

I nostri dati siamo noi e per noi ed è giusto quindi pretendere, da chi vuole utilizzare un pezzetto di noi, la massima protezione di tutto ciò che ci riguarda.