GDPR: come si configura la responsabilizzazione delle imprese (Guida al GDPR 2.2)

unione europea

Un termine che si sente ripetere spesso in relazione al GDPR è quello di “accountabilty”, equivalente inglese dell’italiano “responsabilizzazione”.

Comprendere cosa si intende con questa espressione è fondamentale, poiché l’intera impostazione del Regolamento si basa su questo concetto, in un’ottica fortemente innovativa rispetto alla prospettiva del Codice Privacy: i singoli titolari sono ora chiamati in prima persona a decidere quale sia il modo migliore per rispettare la disciplina del Regolamento nell’ambito dello specifico trattamento effettuato.

Le disposizioni del GDPR sono infatti “risk-based”, ma la valutazione dei rischi per i diritti e le libertà degli interessati posti dalle specifiche attività di trattamento di dati personali è rimessa di fatto a ciascun titolare. Essi sono, quindi, responsabilizzati in quanto la determinazione e l’adozione delle misure e delle procedure necessarie per assicurare l’applicazione corretta del Regolamento spetta direttamente a loro e non alla legge o all’Autorità Garante.

In forza di tale principio, infatti, ogni titolare è tenuto ad adottare dei comportamenti proattivi in grado di assicurare l’applicazione del Regolamento: spetta quindi ai titolari decidere autonomamente le modalità, le garanzie e i limiti da applicare per i trattamenti di dati personali effettuati.

Ovviamente, per poter assicurare il rispetto del GDPR, i titolari (o i responsabili) devono conoscere bene le disposizioni normative in esso contenute, ma, ancor prima, devono riconoscere la nuova concezione che sta alla base di questa disciplina: secondo il GDPR, infatti, la privacy va vista come un sistema di gestione di tutte le attività svolte, da applicare in modo trasversale e complessivo ad ogni ramo e ad ogni settore. Le imprese devono concepire la protezione dei dati personali come uno strumento che consente di acquisire know-how e competitività sul mercato. Se si comprende questa impostazione, la responsabilizzazione del titolare appare la naturale conseguenza: la protezione dei dati personali rappresenta infatti uno dei vari aspetti da regolare per gestire un’attività di impresa e spetta, quindi, al singolo imprenditore stabilirne le modalità, le garanzie e i limiti, sulla base della propria attività e della propria professionalità, facendosi carico che rischi conseguenti a valutazioni erronee e a eventuali violazioni della normativa di riferimento, che siano volontarie o colpose.

Il Regolamento, ad ogni modo, introduce alcuni criteri specifici che i titolari dovranno rispettare e che li potranno guidare nell’applicazione della disciplina, tra i quali rilevano, in particolare, quello definito con l’espressione inglese “privacy by default and by design” e quello del rischio inerente al trattamento (ovvero rischio di conseguenze negative e della possibilità di mitigarne l’impatto sui diritti degli interessati).

Il GDPR quindi parla di responsabilizzazione perché le imprese sono chiamate ad analizzare attentamente le attività che comportano trattamento e circolazione di dati personali e, sulla base di tale valutazione, identificare i possibili rischi (secondo un approccio, appunto, basato sul rischio specifico generato da ciascun trattamento) per i diritti e le libertà delle persone coinvolte e predisporre un sistema di misure di sicurezza adeguate per porre in essere una reale protezione dei dati ed effettuare un trattamento lecito, sicuro e trasparente.

Punto di partenza è, in ogni caso, la considerazione che ciascuna attività ed ogni realtà professionale hanno le proprie caratteristiche e peculiarità anche in materia di protezione dei dati personali e di trattamenti effettuati. Di conseguenza, quali siano i rischi e quali le possibili strade per arginarli è una valutazione che va fatta caso per caso, sulla base delle specifiche attività svolte e delle tipologie di dati trattati, del contesto di riferimento in cui ciascuna azienda opera e dei soggetti coinvolti.

Va quindi esclusa radicalmente un’applicazione standardizzata e in serie del GDPR, in quanto ciascun trattamento richiede un’analisi a sé e la predisposizione di misure personalizzate.

E la necessaria accuratezza delle valutazioni rimesse in capo ai titolari si comprende facilmente: è vero, da un lato, che le imprese si trovano maggiormente libere di decidere se e quali forme di protezione devono porre in essere, dall’altro lato, tuttavia, l’assenza di chiari riferimenti predeterminati fa sì che la correttezza delle attività di trattamento realizzate dipenda dalla correttezza delle valutazioni effettuate a monte dai medesimi titolari.

Non va neppure sottovalutata un’altra innovazione introdotto dal GDPR e rilevante in tema di responsabilizzazione: i controlli da parte dell’Autorità Garante sono ora quasi esclusivamente “ex post”, ovvero successivi rispetto alle scelte effettuate dai titolari ed al compimento delle operazioni di raccolta ed elaborazione dei dati. Rispetto alla normativa prevista dal nostro Codice della Privacy, di conseguenza, con il Regolamento vengono meno alcuni istituti di controllo preventivo da parte del Garante, come la notifica preventiva e la verifica preliminare. Con il GDPR simili procedure sono sostituite da meccanismi atti a consentire la verifica successiva della correttezza dell’attuazione della disciplina normativa, autonomamente svolta dai titolari: in questo senso, il Regolamento introduce, ad esempio, gli istituti della valutazione di impatto sulla protezione dei dati e del registro dei trattamenti, interamente di competenza del titolare e del responsabile.

In poche parole, viene interamente rimesso ai titolari il processo di tutela della privacy, che dovrà (i) fondarsi su un’analisi preventiva precisa e approfondita, (ii) essere realizzato attraverso una serie di attività specifiche e, infine, (iii) essere compiuto in modo tale da permettere ai titolari di dimostrare la correttezza delle determinazioni a tal fine assunte e delle misure di sicurezza predisposte e ritenute adeguate al rischio.

Le imprese sono così responsabilizzate: alla maggiore libertà di azione che viene loro attribuita, si accompagna la responsabilità per le scelte fatte e per l’attuazione o meno di una effettiva protezione dei diritti e delle libertà degli interessati.

FocusGDPRPrivacy e sicurezza Informatica
marzo 16, 2018
gdprprivacyRegolamento europeo
logo fclex nero

Scopri anche

intelligenza artificiale settimana lavorativa

Rivoluzione Lavorativa: Intelligenza Artificiale e Settimana da 4 Giorni – Implicazioni Giuridiche

28 Mar
Leggi tutto
linee guida agcom influencer

Nuove Linee guida AGCOM per Influencer e Content Creator: Criticità, multe e sfide nel Contesto Giuridico

17 Gen
Leggi tutto
ecommerce sanzioni direttiva omnibus 2023 omnibus

Nuovi obblighi per gli eCommerce: maggiori responsabilità per le imprese e tutele per i consumatori

14 Apr
Leggi tutto
recesso contratto clausola ecommerce limite

Diritto di recesso dal contratto: limiti e clausola di recesso

6 Apr
Leggi tutto
COME REGISTRARE MARCHIO

Come registrare un marchio? Le 5 domande più frequenti

29 Mar
Leggi tutto
guadagnare con marchio e licenza

Licensing e modelli di Business: 5 licenze per monetizzare il tuo marchio

18 Gen
Leggi tutto

Ultimi aggiornamenti

password garante

Linee guida del Garante Privacy in materia di Funzioni Crittografiche e Conservazione delle Password

Con il provvedimento n. 9962283 del 7 dicembre 2023, il Garante per la Protezione dei Dati Personali e l’Agenzia per la cybersicurezza nazionale (ACN) hanno emanato alcune Linee Guida in materia “Funzioni Crittografiche e Conservazione delle Password”. Successivamente, con un comunicato del 1° marzo 2024, il […]
aprile 4, 2024
Leggi tutto
intelligenza artificiale settimana lavorativa

Rivoluzione Lavorativa: Intelligenza Artificiale e Settimana da 4 Giorni – Implicazioni Giuridiche

Avv. Giuseppe Croari – Dott.ssa Francesca Gattarello Ad oggi sono notoriamente risaputi i vantaggi che l’intelligenza artificiale ha apportato anche nel mondo del lavoro (a tal proposito vi segnaliamo questo articolo). A ciò si aggiunga la maggiore consapevolezza che la società ha acquisito, negli ultimi anni, […]
marzo 28, 2024
Leggi tutto
contratto vendere webinar

Il Contratto come strumento per vendere di più

Hai mai pensato al tuo contratto come a un’arma segreta per il successo? Probabilmente no. La maggior parte delle persone considera il contratto come un ostacolo burocratico, un documento noioso e pieno di “legalese” incomprensibile. Ma se ti dicessi che il tuo contratto può essere molto […]
marzo 15, 2024
Leggi tutto

Iscriviti alla nostra newsletter

i nostri social

Guarda i nostri video e rimani aggiornato con notizie e guide

Lo sapevi che per continuare a fare Smart Working in azienda bisognerà adottare degli accorgimenti entro il 30 giugno?

Le modalità per fare marketing si sono evolute di pari passo alle norme in tema di privacy, questo porta ad un binomio complesso: lead generation e privacy. Come fare contatti rispettando però il GDPR?

Il marchio oggi non rappresenta meramente un simbolo identificativo, ma diviene uno degli elementi fondanti della brand identity di un’impresa. La registrazione è fondamentale per tutela e VALORE del tuo business.

scopri altri video

Dirittodellinformatica.it è rivista telematica registrata il 08.04.2008 presso il Tribunale di Foggia (n. 10/08 registro periodici, cron. n. 816/08). Proprietari del sito: Gianluigi Fioriglio e Giuseppe Croari. Direttore responsabile: Gerardo Antonio Cavaliere. P.I. Studio Legale Associato Fioriglio-Croari: 02863681207.

Il contenuto del sito è sottoposto a licenza Creative Commons (Attribuzione-Non commerciale-Non opere derivate 3.0 Unported). E' possibile riprodurre, distribuire, comunicare al pubblico, esporre in pubblico, rappresentare, eseguire e recitare il contenuto del sito purché sia attribuita esplicitamente la paternità di ogni sua singola parte; non sono consentiti utilizzi per fini commerciali, nè alterazioni o trasformazioni del contenuto del sito.

© 2024 dirittodellinformatica.it