GUARDA QUIhttps://www.accademiaitalianaprivacy.it/areaprivata/foto/761/01.jpg

Dettaglio news
Il principio di Accountability nel GDPR e i documenti utili


giovedì 2 febbraio 2023
di GDPRlab.it



 

L'accountability nel GDPR: definizione

L'accountability nel GDPR (General Data Protection Regulation) è uno dei pilasti, poiché mira a rendere le organizzazioni responsabili per la protezione dei dati personali.

Il principio di fondo dal quale origina l'accountability, traducibile suppergiù con responsabilizzazione, è quello per cui i dati sono di proprietà dell'interessato. E tali restano anche quando l'interessato decide di concederli ad un'azienda o un'ente per trattarli per una precisa finalità. Ne consegue che il titolare del trattamento dati ha la responsabilità di proteggerli e trattarli "responsabilimente" nel rispetto della normativa, dato che gestisce un bene di proprietà di terzi. Questo principio impone alle aziende di dimostrare la loro conformità al GDPR, anziché semplicemente rispettarlo.

Insomma il principio di accountability (responsabilità) nel GDPR è un concetto che sottolinea l'obbligo, da parte dei titolari del trattamento, di spiegare e giustificare il proprio comportamento per adempiere agli obblighi previsti dalla normativa in materia di privacy e trattamento dei dati personali. É ricavabile dagli articoli 5 e 25 del Regolamento:

  • l'articolo 5 del GDPR stabilisce la responsabilità del titolare del trattamento come garante del fatto che il trattamento dei dati personali sia effettuato in conformità con il GDPR;
  • l'articolo 25 del GDPR riguardo al principio di accountability stabilisce l'obbligo per il titolare del trattamento e il responsabile del trattamento di adottare misure tecniche e organizzative adeguate a proteggere i dati.

 

Accountability tutta da dimostrare: la documentazione necessaria

Ne consegue che le organizzazioni devono preparare e mantenere documentazione adeguata sulle proprie attività di elaborazione dei dati, comprese le misure di sicurezza adottate per proteggere i dati personali. La documentazione della conformità al GDPR è un elemento cruciale per garantire la corretta attuazione del principio di accountability.

Per cominciare, è necessario che le aziende comprendano a fondo il GDPR e i suoi requisiti, al fine di poter implementare le opportune misure per garantirne la conformità. Una volta identificate le informazioni personali che vengono elaborate, è necessario valutare i rischi per i diritti e le libertà degli interessati e adottare le misure adeguate per prevenire tali rischi. Questo processo di valutazione dei rischi dovrebbe essere documentato in modo adeguato. Oltre a ciò, questa documentazione dovrebbe comprendere anche la descrizione delle categorie di dati personali che vengono elaborate, il periodo di conservazione dei dati, la descrizione delle categorie di destinatari dei dati e i dettagli sulle eventuali trasferte di dati verso paesi al di fuori dell'Unione Europea.

Alcuni esempi:

  • Lettere di incarico e mansionari
  • Manuale del dipendente
  • Contratto comodato d'uso apparecchiature informatiche
  • Contratti di nomina Responsabili esterni
  • Contratti di nomina Contitolari del trattamento
  • Registro dei trattamenti in qualità di Titolare
  • Registro dei trattamenti in qualità di Responsabile esterno
  • Valutazione di impatto sulla protezione dei dati (DPIA)

 

Accountability: differenze tra il GDPR e la vecchia normativa italiana privacy

Il d. lgs. n. 196/2003, noto come "Codice in materia di protezione dei dati personali", era il precedente regolamento privacy italiano che regolamentava il trattamento dei dati personali prima dell'entrata in vigore del GDPR. Il Codice prevedeva il concetto di "responsabilità del titolare" del trattamento dei dati, che implicava che il titolare fosse responsabile della protezione dei dati che trattava. Tuttavia, questo principio di responsabilità era meno formalizzato e meno rigoroso rispetto al principio di accountability previsto dal GDPR. In sintesi, mentre il vecchio regolamento italiano prevedeva il principio di responsabilità, il GDPR ha introdotto il principio di accountability, che è più rigoroso e formalizzato.

Ricordiamo infatti che l'entrata in vigore del GDPR non ha portato all'abrogazione del d. lgs. n. 196/2003, ma solo di alcune parti. Con il Decreto 101/2018 l'Italia ha integrato il Codice di protezione dei dati personali con la normativa europea.

 

Articolo originale su GDPRlab.it




CONDIVIDI QUESTA PAGINA!