“Accountability”, questa sconosciuta

Da quando è “apparso” il GDPR nel nostro Paese (maggio 2018), chi si è interessato, più o meno spontaneamente, al tema della protezione dei dati personali ha prima o poi incontrato il termine “accountability”, responsabilizzazione: vediamo di cosa si tratta.

Come è noto, la disciplina sulla privacy non è una novità di questo periodo, ma risale alla metà degli anni ’90: le precedenti soluzioni normative si sono rivelate un fallimento, e quindi il legislatore europeo, con il Regolamento 2016/679, ha voluto migliorare (e aggiornare) la situazione. A tale scopo ha ritenuto necessario cambiare innanzitutto l’impostazione base della disciplina. Così, si è passati da un metodo di tutela fondata su obblighi specifici e dettagliati, in linea di massima uguali per tutti, da adempiere a livello formale, ad un nuovo impianto, che prende in considerazione l’importanza sostanziale della protezione delle informazioni personali nella società digitale, finalizzata a realizzare un sistema efficace in cui i titolari del trattamento utilizzino tutti i dati a loro necessari, ma proteggendoli.

Per giungere a questo risultato, il legislatore europeo ha spostato sul titolare l’onere di preoccuparsi delle cose da fare, chiaramente fornendo una serie di “parametri” (in pratica gli obblighi previsti nel GDPR) a cui uniformarsi, in maniera “responsabilizzata”, cioè … “accountable”: egli deve quindi, dopo aver ben valutato le metodologie, le caratteristiche e i rischi delle attività di trattamento poste in essere dalla sua struttura(autonomamente o, se si avvale di un consulente, partecipando al suo lavoro, valutandone i diversi aspetti), con consapevolezza, decidere quali misure adottare, e come, per raggiungere il fondamentale risultato dell’efficacia della tutela. Risultato rispetto al quale potrà poi essere giudicato il suo adempimento al dettato normativo. Questo comporta, ad esempio per il dentista:− il dovere di adottare, proattivamente e in modo permanente, misure tecniche, organizzative e giuridiche per proteggere i dati personali; − l’essere responsabile della conformità alla normativa in materia nell’ambito delle operazioni di trattamento poste in essere dalla sua struttura; − la necessità di essere in grado di dimostrare, in qualsiasi momento, che opera in conformità̀ delle disposizioni sulla protezione dei dati personali.

Quindi solo aspetti, almeno apparentemente, negativi? 

No. Infatti, l’accountability permette al titolare di far valere il livello della sua responsabilizzazione che, se alto, può arrivare a bilanciare eventuali errori, o dimenticanze, nello svolgimento dell’ulteriore importante compito per il medico del nuovomillennio: cura non solo della salute “fisica” del suo paziente, ma anche di quella dei suoi dati personali.  

Come? A parte dimostrare il suo attento coinvolgimento nel processo di adeguamento al GDPR dello studio, consapevole (quindi ad esempio attuando un serio percorso formativo per sé, per i suoi collaboratori e dipendenti), il risultato si può raggiungere non limitandosi ad un “compitino” (vecchia impostazione formale della normativa), ma anche arrivando magari ad adempiere obblighi non richiesti per la sua realtà, ma che ha ritenuto opportuno comunque rispettare allo scopo di realizzare il successo della tutela: ad esempio, predisponendo la valutazione di impatto privacy (c .d. D.P.I.A.) anche al di fuori dei casi in cui il GDPR la richieda, per avere una maggiore consapevolezza dei rischi legati al trattamento, al fine di limitarli nella massima misura possibile; o predisponendo testi di informativa “pensati” per i propri pazienti, in modo da renderli più comprensibili, o anche solo leggibili (nel caso siano anziani); ancora, realizzando modalità semplificate di esercizio dei diritti da parte dell’interessato, e quindi permettendo una più soddisfacente interazione di questo con il titolare che utilizza le sue informazioni. Mostrando, proprio in questo comportamento proattivo, quella “responsabilizzazione”, quella accountability prevista dal Regolamento 2016/679.

Gianluigi Ciacci
Consulente privacy ANDI