dati e delle persone stesse ed è pertanto strettamente connesso con le misure di sicurezza e con l’analisi del rischio, con la valutazione di impatto privacy e con i principi privacy by design , privacy by default che devono essere sempre presenti.
Il titolare del trattamento dei dati deve essere in grado di dimostrare di avere adottato un processo complessivo di misure giuridiche, organizzative, tecniche, per la protezione dei dati personali, anche attraverso l’elaborazione di specifici modelli organizzativi: deve dimostrare in modo positivo e proattivo che i trattamenti dei dati effettuati sono adeguati e conformi al regolamento europeo in materia di privacy.
L’attuale codice della privacy non prevede in modo diretto il principio di accountability, prevede invece un insieme di responsabilità civili, penali e amministrative e una serie di adempimenti formali (informativa, consenso, notificazione al Garante, misure minime e idonee) ma non un approccio di responsabilizzazione. Il concetto di “accountability” è ulteriormente delineato dall’art. 24 del Regolamento, il quale prevede che il Titolare del trattamento debba mettere in atto (nonché riesaminare ed aggiornare) adeguate misure tecniche ed organizzative, per garantire ed essere in grado di dimostrare che le operazioni di trattamento vengano effettuate in conformità alla nuova disciplina.
Quindi la nuova disciplina non prevede più una serie di “misure minime” che è necessario adottare, quali quelle contenute nell’Allegato B al Codice Privacy, ma sarà necessario individuare di volta in volta quelle più adeguate. Tale maggiore libertà è accompagnata dall’onere in capo a al responsabile di dimostrare le motivazioni che hanno portato all’adozione di una determinata decisione, oltre che di documentare le scelte effettuate. Chi non documenta, è soggetto a possibili sanzioni: a prescindere dall’utilizzo che si fa dei dati, è sufficiente non avere i documenti per essere perseguibili.
Ogni azienda deve adottare (e dimostrare di aver adottato) modelli organizzativi idonei a garantire il rispetto della normativa, soprattutto sotto il profilo della valutazione preventiva dei rischi e delle misure di sicurezza, anche attraverso la tenuta di un registro delle attività del trattamento dei dati personali. Tali politiche dovranno poi essere aggiornate e migliorate di continuo, parallelamente all’evolversi della normativa e delle soluzioni tecnologiche disponibili sul mercato, ma soprattutto dovranno “tener conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché del rischio per i diritti e le libertà delle persone fisiche“. Il tutto tenendo conto dei principi di Privacy by Default e Privacy by Design, i quali impongono al titolare del trattamento, nel primo caso, di tutelare la vita privata dei cittadini di default, ovvero come impostazione predefinita dell’organizzazione aziendale, nel secondo caso, di fare in modo di proteggere i dati fin dal disegno o progettazione di un processo aziendale.