I bollettini di House of Data Imperiali sono degli estratti delle Puntate del servizio Dati in Primo Piano (DPP), a cura dell’Avv. Rosario Imperiali d’Afflitto.

Il DPP è fruibile tramite abbonamento.

Responsabilità nel GDPR

Con la puntata odierna in materia di responsabilità completiamo l’analisi giuridica sulla triade adeguatezza, accountability e responsabilità, riguardo alla disciplina sulla protezione dei dati personali.

Adeguatezza

L’adeguatezza – come indicato nell’Editoriale del 25 gennaio 2024 – è l’elemento su cui si rapporta il livello di adempimento richiesto dalla legge per quelle prescrizioni che presuppongono un approccio basato sul rischio. Il Regolamento, infatti, richiede adempimenti suddivisibili generalmente in due distinte tipologie:

  • Quelli che richiedono una preliminare valutazione del rischio sottostante, in quanto l’adempimento è parametrato al rischio così determinato (ad esempio, la protezione sin dalla progettazione e per impostazione predefinita, art. 25, l’adozione delle misure di sicurezza, art. 32, la valutazione d’impatto, art. 35)
  • Quelli che si esauriscono in una rappresentazione documentale (ad esempio, l’informativa privacy, artt. 13 e 14, gli obblighi contrattuali tra contitolari, art. 26, e tra titolari e responsabili, art. 28, il registro dei trattamenti, art. 30, ed altri).

Riguardo alla prima tipologia di adempimenti, l’adeguatezza è sia elemento sostanziale dell’adempimento sia criterio determinativo della responsabilità del titolare: un comportamento “non adeguato” è foriero di responsabilità per non conformità alla prescrizione di legge.

Accountability

Il principio di accountability – oggetto dell’Editoriale del 4 aprile 2024 – ha valenza generale e si applica nei riguardi di qualsiasi prescrizione del Regolamento. Esso indica che il contenuto della conformità non si limita al rispetto della prescrizione del GDPR ma include anche la capacità di dimostrarlo. Di conseguenza, l’accountability pone l’accento sulla tracciabilità della conformità, a beneficio di successive constatazioni.

Ad esempio, un’informativa rilasciata oralmente, che non si sia in grado di dimostrare, equivale ad un’omessa informativa, incorrendo in responsabilità per la pertinente violazione.

Responsabilità del trattamento dei dati

La “responsabilità” – cioè, il terzo profilo oggetto di questa puntata – indica due distinti aspetti giuridici:

  • L’imputazione, cioè l’addebitabilità di una determinata violazione a uno specifico soggetto ritenuto giuridicamente “responsabile”
  • Gli effetti, cioè le conseguenze giuridiche causate dalla trasgressione.

La violazione delle prescrizioni del GDPR determina in capo al titolare – e in talune circostanze anche nei confronti del responsabile del trattamento – una duplice forma di responsabilità:

  • Responsabilità per violazione di legge
  • Responsabilità per danni eventualmente causati col proprio trattamento.

Il titolare del trattamento è il principale destinatario delle prescrizioni del Regolamento generale e, di conseguenza e in via ordinaria, è colui che risponde:

  • sia delle conseguenze derivanti dalla violazione delle prescrizioni
  • sia dei danni eventualmente causati dal proprio trattamento.

Continua…

Per continuare a leggere questo articolo devi essere abbonato al servizio Dati in Primo Piano.

Sei già abbonato?

Abbonati al DPP

Scopri gli abbonamenti

Data Hub

Scopri di più

Iscriviti al bollettino

Compila il form