Il principio della responsabilizzazione induce attenzione proattiva da parte di chi deve trattare i dati personali. Secondo Antonio Caselli, Responsabile dell’Unità documentazione internazionale e riforma normativa Ue del Garante Privacy, posto che il Gdpr non interviene in un vuoto normativo, poiché completa le disposizioni della direttiva 95/46 e quindi del Codice italiano che ha recepito la direttiva: decreto legislativo 196/2003), ma ci sono alcune azioni che possono essere intraprese subito perché fondate su disposizioni precise del Regolamento che non lasciano spazi a interventi del legislatore nazionale (come invece avviene per altre norme del Regolamento, in particolare quelle che disciplinano i trattamenti per finalità di interesse pubblico ovvero in ottemperanza a obblighi di legge).
“Il suggerimento più importante è, a mio giudizio – spiega Caselli – di natura organizzativa: il regolamento è costruito sul principio della responsabilizzazione (accountability) di titolari e responsabili del trattamento, il che si traduce in una serie di comportamenti proattivi da parte di chi tratta dati personali. L’intervento delle autorità di protezione dati è soprattutto ex post, non ex ante: non ci sono più obblighi di notifica preventiva o autorizzazione preventiva da parte dell’autorità; il bilanciamento di interessi (rispetto all’interesse legittimo del titolare) spetta al titolare stesso, assistito da linee-guida delle autorità europee, ma operante autonomamente”.

Quindi si tratta di verificare se la propria organizzazione sia in grado di gestire responsabilmente i trattamenti di dati personali. Tutto ruota intorno alla comprensione dei trattamenti svolti, della loro natura e del loro ambito; alla definizione della necessità di tali trattamenti e dei dati che in essi sono elaborati, con riguardo alle finalità (lecite) e ai principi di minimizzazione e privacy by default; alla valutazione dell’impatto dei trattamenti svolti o previsti (in termini di diritti e libertà degli interessati) tenendo conto del rischio (residuale) di questi trattamenti una volta applicate le misure “tecniche e organizzative” (anche di sicurezza) che devono essere previste dal titolare o dal responsabile.
“Da questa analisi discende anche la decisione di designare o meno un DPO (a meno che non si rientri nei casi di designazione obbligatoria di un DPO previsti nel Regolamento) e di ricorrere a forme di certificazione (per esempio) al fine di dimostrare l’osservanza delle norme del regolamento. Tutto questo richiede, appunto, una valutazione complessiva dell’organizzazione aziendale e un’eventuale sua riconfigurazione in termini di processi di trattamento dati al fine di garantire che questi siano condotti responsabilmente. Le sanzioni che il regolamento prevede sono particolarmente consistenti proprio in rapporto al mancato rispetto di queste disposizioni di “accountability”. Sono previste alcune deroghe e misure di semplificazione rivolte alle Pmi, ma i criteri di valutazione di impatto (rischio) e accountability restano fondamentali per tutti i soggetti”, chiude Caselli.
29 marzo 2017