Il principio di accountability nel GDPR: le nuove prospettive della “responsabilizzazione” del titolare
Le innovazioni connesse
alla odierna Rivoluzione digitale, oltre al capillare ed incontrastato
sviluppo di nuovi livelli di intelligenza artificiale, hanno comportato un
cambiamento radicale dei mercati globali, mettendo in crisi i modelli di
produzione "tradizionali" e persino le modalità di relazione tra i soggetti che
vi partecipano.
L'incessante ritmo di tali mutamenti deve, tuttavia, procedere
di pari passo con la previsione di regole e tutele appropriate, in grado di
bilanciare le esigenze e le peculiarità dei vari settori interessati del
mercato e dei suoi attori.
All'interno di questo contesto, sul piano europeo si è avvertita per anni l'esigenza di dettare regole uniche e direttamente applicabili negli Stati membri, volte alla creazione di un mercato interno unico digitale, in grado di tutelare compiutamente gli utenti ed utilizzatori del Web.
La risposta a queste
istanze ha trovato la sua realizzazione nel 2016, con il Regolamento 2016/679,
altrimenti noto come Regolamento Generale sulla protezione dei dati
personali dell'Unione europea (General Data Protection Regulation o,
più semplicemente, GDPR).
Tale norma europea venne adottata con un duplice intento:
armonizzare la tutela dei diritti della personalità in relazione al trattamento
dei dati ed assicurare una maggiore libertà nella circolazione dei dati
personali tra gli operatori degli Stati membri.
Partendo dall'assunto che, nel
panorama normativo europeo, la protezione dei dati personali assume la valenza
di diritto fondamentale della persona[1], il GDPR si preoccupa di rafforzare
al massimo gli strumenti di protezione dell'utilizzatore del Web.
In particolare, il focus principale è rivolto alla tutela di colui che mette in circolazione se stesso in rete, attraverso i suoi dati.
Per farlo, il legislatore
europeo ricorre ad un principio, in parte desueto nella tradizione giuridica italiana
(ma molto comune nei sistemi di common law): il principio di
accountability.
Si tratta, probabilmente, della principale "rivoluzione" portata dal Regolamento, che apre a nuovi scenari in relazione alla protezione dei dati personali e ne rappresenta il manifesto.
L'Unione
europea, attraverso la previsione di tale principio, inverte decisamente
l'approccio "classico" sulla tutela dei dati personali, basata adesso su una
nuova gestione del rischio. In questo modo, il "rischio" sulla gestione
del dato è a carico di un determinato soggetto, ossia il titolare del
trattamento, eventualmente coadiuvato nelle sue attività dal responsabile
del trattamento.
Il primo, in particolare, è definito dall'articolo 4[2]
quale figura deputata alla determinazione delle finalità e dei mezzi del
trattamento di dati personali, che può essere ricoperta sia da una persona
fisica, sia da una persona giuridica che da un'autorità pubblica.
La tutela del dato personale è quindi ora vista come un obiettivo da perseguire da parte del titolare del trattamento, secondo modalità che egli stesso deve, di volta in volta, determinare e che possono essere ex post oggetto di una valutazione nel merito da parte del giudice o di un'autorità di controllo.
Cambia,
come detto, la "gestione del rischio", in relazione al trattamento del dato.
La
nuova disciplina intende proprio responsabilizzare il titolare del
trattamento: non più prevedendo unicamente specifiche norme di comportamento da
seguire (la cui violazione può dar luogo all'irrogazione di una sanzione, nei
confronti del titolare), bensì richiedendo a tale soggetto di effettuare una
valutazione prognostica sul trattamento nello specifico e, conseguentemente, di
assumere le determinazioni più opportune, in ossequio ai principi sanciti dalle
norme del GDPR.
La scelta di "responsabilizzare" il titolare è consequenziale ad una "situazione di fatto" avvertita dal legislatore europeo: regolare le singole fattispecie, legate al trattamento del dato, appare un compito quasi impossibile, proprio per la portata estremamente espansiva del mondo digitale. La normativa sulla protezione della persona in relazione al trattamento del dato è infatti, per sua natura, onnicomprensiva. Basti pensare alla definizione stessa di "dato personale", che può arrivare a coinvolgere un'infinita quantità di informazioni.
Il cambio di approccio è dato anche da un'altra circostanza: il "titolare del trattamento" può oggi essere una multinazionale ma anche una persona fisica, mentre i dati trattati possono variare da quelli genetici a quelli contabili. Attraverso la definizione di tale principio, dunque, la concreta applicazione del Regolamento può agevolmente variare a seconda del titolare, della natura del dato e della tipologia di trattamento, senza perdere la sua essenza.
Definizione del principio e le norme del GDPR
Per comprendere la portata di tale principio, va in primo luogo chiarito cosa si intenda per accountability e quale sia il suo contenuto. Nella edizione italiana del Regolamento, il termine viene tradotto con "principio di responsabilizzazione". Tale traduzione, benché non errata, deve essere in qualche modo completata. Infatti, il principio esprime sia l'esigenza di responsabilizzazione del titolare del trattamento che la necessità di dare prova di tale responsabilizzazione.
Il funzionamento di tale principio è chiarito nel Parere 3/2010 redatto dal Gruppo di lavoro "Articolo 29", che si è occupato di esaminare le principali questioni attinenti alla protezione dei dati personali. Tale principio viene qui descritto come un meccanismo basato su due livelli:
- Il primo livello è quello obbligatorio per tutti i titolari del trattamento e consiste nell'obbligo di attuare determinate misure di protezione dei dati e di formalizzare (ossia, rendicontare) le procedure adottate.
- Il secondo livello è invece volontario e consiste nell'adozione di misure di protezione dei dati ulteriori rispetto a quelle previste dalla normativa.
Volgendo lo sguardo sul solo livello "obbligatorio" (chiamato da parte della dottrina anche "livello minimo"), l'accountability, da un lato, ha lo scopo di promuovere l'adozione di misure concrete di protezione dei dati (dunque, da valutare caso per caso) e, dall'altro, impone al titolare del trattamento di garantire sulla bontà delle procedure adottate, dovendo dimostrare (su richiesta del giudice o di un'autorità di controllo) di aver intrapreso tali azioni. Ecco perché tale principio rappresenta, al contempo, sia la "responsabilizzazione" del titolare (in quanto tenuto ad adottare certe misure) che l'esigenza da parte dello stesso soggetto di dare "prova" delle attività che ha svolto.
Benché possa apparire inconsueto, il principio non è contenuto in un'unica disposizione del GDPR. Ciò, tuttavia, non ne limita la portata, anzi la amplifica: esso, infatti, permea l'intero testo della normativa. La visione univoca e congiunta degli articoli del Regolamento ha dato luogo alla nascita dell'odierno concetto di accountability. Analizziamo quindi le principali disposizioni sul tema.
Già nella fase introduttiva del GDPR, il principio di accountability trova una sua autonomia e considerazione. Il Regolamento, infatti, prima di enunciare i singoli articoli, dispone una serie di norme "preliminari": i cd. Considerando. Si tratta di una sorta di considerazioni preliminari, formalizzate all'interno del GDPR, che permettono al lettore di comprenderne meglio il testo normativo.
Ad esempio, il Considerando n. 74 esprime l'intenzione del Regolamento di stabilire una "responsabilità generale del titolare del trattamento per qualsiasi trattamento dei dati personali che quest'ultimo abbia effettuato", come effettivamente verrà fatto negli articoli seguenti. Ancora, nel Considerando n. 78 il Regolamento auspica che i titolari del trattamento "adottino politiche interne" per rispettare i principi della protezione dei dati, sin dalle primissime fasi. Naturalmente, essendo rimessa a tale soggetto la scelta sulle modalità, tali politiche non vengono concretamente definite. Tuttavia, nei Considerando n. 82 e n. 84 si parla espressamente di "registri delle attività di trattamento" e di specifiche procedure di "valutazione d'impatto sulla protezione dei dati" (DPIA): in qualche modo, è lo stesso GDPR a definire (alcune) delle modalità da utilizzare per un corretto trattamento dei dati.
Entrando nel cuore della normativa del Regolamento, già nell'articolo 5 paragrafo 2 del GDPR è evidente come il titolare del trattamento svolga una funzione di garanzia circa il rispetto dei principi applicabili al trattamento dei dati. Questi è inoltre tenuto a dover "dimostrare" di averli rispettati, così evidenziando la volontà del legislatore di correlare il duplice profilo prescrittivo e probatorio della norma: la responsabilizzazione e la prova delle attività svolte, a garanzia del corretto trattamento.
Di simile tenore è anche l'articolo 24 del GDPR, considerato il caposaldo del principio, che viene definito nei suoi punti essenziali. La norma chiarisce che il titolare del trattamento sia tenuto a mettere in atto "misure tecniche ed organizzative adeguate al fine di garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente Regolamento". Ancora una volta, i profili della "responsabilizzazione" e della "prova" vengono trattati simultaneamente e sullo stesso piano.
Il principio di accountability è, inoltre, richiamato ogni qualvolta venga rimesso al titolare il compito di operare delle "valutazioni" sul trattamento del dato, in questo modo responsabilizzandolo.
Ad esempio, nell'articolo 32, nel determinare i principi sulla "sicurezza" del trattamento, stabilisce che il titolare del trattamento debba attuare le misure di sicurezza "tenendo conto dello stato dell'arte e dei costi dell'attuazioni, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento". Tale valutazione è necessaria per individuare correttamente il "livello di sicurezza" adeguato al rischio. Ciò significa che l'adozione della misura di sicurezza è preceduta da una "fase valutativa" del trattamento, che deve tenere conto dello scopo perseguito, della tipologia di dato trattato nonché del probabile rischio a cui i dati potrebbero essere esposti da quella specifica attività.
Ma la responsabilità del titolare non si esaurisce con la sola valutazione ed adozione delle misure di sicurezza. Esso, infatti, deve compiere un'attività di continuo monitoraggio, per verificare che tali misure siano effettivamente proporzionate e costantemente adeguate ai rischi. È quindi tenuto ad una complessa attività di valutazione (tecnica, giuridica e organizzativa) e ad un'intensa attività di scelta delle misure di sicurezza da adottare. Tutto ciò, naturalmente, deve essere adeguatamente documentato.
Una certa "autonomia" in capo al titolare del trattamento la ritroviamo, ancora, nell'articolo 12, che disciplina la cd. "Informativa": questi, nel momento in cui è tenuto a fornire all'interessato le informazioni prescritte dalla legge, può scegliere il "modo" in cui concretamente fornire le informazioni. Tuttavia, la norma in parte ridimensiona tale libertà, nel momento in cui prescrive certi comportamenti da tenere (es. fornendo le informazioni senza ingiustificato ritardo).
Infine, una riflessione a parte merita l'articolo 7, che disciplina il consenso dell'interessato al trattamento. Secondo tale norma, quando il trattamento sia basato sul consenso, il titolare del trattamento deve essere in grado di "dimostrare che l'interessato abbia realmente prestato il proprio consenso al trattamento dei propri dati personali". Anche qui, il Regolamento non detta le modalità per dimostrarlo, ma si limita unicamente a "responsabilizzare" il titolare nell'acquisire, in modo certo, il consenso.
Dott. Daniele Andaloro
[1] Articolo 8, Carta dei Diritti Fondamentali dell'Unione europea (Carta di Nizza)
[2] Articolo 4, comma 1, lettera f)