I bollettini di House of Data Imperiali sono degli estratti delle Puntate del Servizio di Informazione GDPR (SIG), a cura dell’Avv. Rosario Imperiali d’Afflitto.

Il SIG è fruibile tramite abbonamento.

Accountability nel GDPR

Il perimetro applicativo del principio di accountability non è quello della mera dimostrazione di quanto eventualmente affermato dal titolare del trattamento in termini di conformità al GDPR, infatti, l’accountability consiste in un duplice obbligo:

  • Ottemperare ai principi generali («Il titolare (…) è competente per il rispetto del paragrafo 1 (dell’art. 5)» e
  • Essere in grado di comprovarlo (in tal senso, CGUE c-340/21, par. 49).

Obbligo di conformità

L’ambito del principio di accountability – consistente in primis nell’obbligo di conformità – è precisato dallo stesso GDPR e dalle ulteriori norme sulla protezione dei dati personali. In particolare, da:

  • la direttiva 95/46/CE (art. 6.2) la quale già stabiliva che «Il responsabile del trattamento (i.e. il titolare, n.d.r.) è tenuto a garantire il rispetto delle disposizioni del paragrafo 1 (i.e. dei principi generali, n.d.r.)»
  • Art. 24, GDPR, secondo cui «il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento»
  • Art. 4, EUDPR (Regolamento 2018/1725) che recita «Il titolare del trattamento è competente per il rispetto del paragrafo 1 (i.e. i principi generali, n.d. r.) e in grado di comprovarlo («responsabilizzazione»)
  • Art. 10.1 della Convenzione 108+ che stabilisce «Each Party shall provide that controllers and, where applicable, processors, take all appropriate measures to comply with the obligations of this Convention and be able to demonstrate (…), that the data processing under their control is in compliance with the provisions of this Convention.»
  • L’art. 24 delle linee guida OCSE in base alle quali, al fine di attuare l’accountability il titolare del trattamento dovrebbe:

a) Avere in atto un programma di gestione della privacy che:

    1. dia effetto alle Linee guida per tutti i dati personali sotto il suo controllo;
    2. sia adattato alla struttura, scala, volume e sensibilità delle sue operazioni;
    3. fornisca adeguate garanzie basate sulla valutazione del rischio per la privacy;
    4. sia integrato nella sua struttura di governance e preveda meccanismi di controllo interno;
    5. includa piani per rispondere a domande e incidenti;
    6. sia aggiornato alla luce del monitoraggio continuo e della valutazione periodica;

b) Essere pronto a dimostrare l’adeguatezza del proprio programma di gestione della privacy, in particolare su richiesta di un’autorità competente per l’applicazione della privacy o di un’altra entità responsabile della conformità all’adesione a un codice di condotta o ad accordi simili che danno effetto vincolante alle linee guida.

Continua…

Per continuare a leggere questo articolo devi essere abbonato al Servizio di Informazione GDPR.

Sei già abbonato?

Abbonati al SIG

Scopri gli abbonamenti

Data Hub

Scopri di più

Iscriviti al bollettino

Compila il form