Tra le novità apportate dal Regolamento 679/16, vi è il c.d. principio di “Acconutability”, letteralmente “responsabilità”.
L’art. 5 del Regolamento, attribuisce al Titolare del trattamento del dai personali il compito di garantire il rispetto dei principi posti dalla nuova normativa, ovvero liceità, correttezza, integrità, riservatezza, trasparenza, limitazione delle finalità di utilizzo dei dati, minimizzazione ed esattezza della conservazione.
In capo al Titolare, inoltre, incombe l’onere della prova, cioè deve essere in grado di dimostrare di aver adempiuto concretamente agli obblighi imposti dal Regolamento, ad esempio tenendo un registro apposito nel quale indicare le operazioni di trattamento.
Il concetto di Accountability si basa proprio sulla capacità di rendere i principi posti dalla nuova disciplina concreti e non relegarli a meri obblighi giuridici torici.
L’art. 24 del Regolamento prevede che il Titolare del trattamento, tenendo conto del contesto in cui opera, le finalità ma soprattutto i rischi del trattamento per i diritti e le libertà delle persone fisiche, valuterà le misure tecniche ed organizzative più adeguate da adottare per garantire ed essere in grado di dimostrare che le operazioni di trattamento vengano effettuate in conformità alla nuova disciplina.
L’art. 30 impone al titolare del trattamento di tenere un registro delle attività di trattamento svolte sotto la propria responsabilità.
Il titolare, per esempio, ha l’obbligo di comunicare l’avvenuta violazione, a sua volta avvertito dal responsabile che comunicherà la violazione all’Autorità Garante e di controllo, entro 72 ore dalla avvenuta conoscenza dei fatti. Deve inoltre dotarsi, secondo l’art. 40 e 42 di codici di condotta e certificazioni.
Il Titolare, però, non è lasciato solo in questa battaglia per la tutela della privacy; a lui sono affiancate due figure ovvero il Responsabile del Trattamento, che opera nella gestione dei dati per conto del titolare e tratta i dati personali per conto del titolare e gli Incaricati che sono gli esecutori materiali del trattamento.
Altra figura introdotta dal regolamento è il DPO – responsabile della protezione dati.
Egli è designato dal titolare e dal responsabile del trattamento. È una figura obbligatoria solo in alcuni casi specificati dalla Regolamento (art. 39 del Regolamento) e può essere un membro dell’azienda oppure un incaricato esterno sulla base di un contratto di servizi.
Il Regolamento, quindi, non si accontenta più di “misure minime”, ma pretende che vengano messe in campo risorse concrete adeguate, lasciando maggiore discrezionalità al Titolare nel decidere quali misure adottare ma, al contempo, attribuendogli l’onere documentare le scelte effettuate e di giustificarle.
RIPRODUZIONE RISERVATA