gdpr

Codici di Condotta: la chiave per rivitalizzare l’accountability



Indirizzo copiato

Il principio di accountability, fondamentale nel GDPR, mostra segni di difficoltà nella sua applicazione pratica. Enti e Autorità di controllo esitano nell’adottare un approccio proattivo basato sull’analisi del rischio. L’elaborazione di Codici di Condotta specifici per settori è una soluzione per rispettare lo spirito del Regolamento Ue

Pubblicato il 12 apr 2024

Sergio Aracu

Founding Partner di Area Legale S.r.l.



Linee Guida del Garante Privacy: è utile il legittimo interesse del titolare del trattamento

Recenti provvedimenti danno adito al pensiero che, forse, il principio di accountability non goda di buona salute.

In particolare, la domanda che ci si pone tra addetti ai lavori è sino a che punto il concetto di accountability sia stato effettivamente abbracciato, in questi primi sei anni di applicazione del GDPR, da Enti, Imprese e dalle stesse Autorità di Controllo.

Mentre esploriamo i limiti della responsabilità nel trattamento dei dati, emerge l’importanza degli investimenti in sicurezza, che invece, come vedfremo, rischiano di essere disincentivati, e il ruolo cruciale dei Codici di Condotta.

Accountability, la resistenza dei titolari del trattamento e delle Autorità di controllo

Si osserva ancora, infatti, una certa resistenza da parte dei titolari del trattamento, che non sembrano voler davvero comprendere che “l’allegato b” e l’approccio formalistico sono ormai superati da un approccio proattivo e tutto imperniato sul rischio e sulla sua attenta analisi e valutazione.

D’altronde, anche chi si impegna nella suddetta valutazione, il più delle volte lo fa in modo, appunto, formale, senza entrare nella vera analisi a tutto tondo che dovrebbe essere presupposto ed elemento fondante della progettazione di ogni processo che comporti il trattamento di dati personali.

Altrettanta resistenza, però, si osserva anche da parte delle Autorità di controllo che sembrano talvolta estremamente restie a concedere fiducia ai titolari. Forse proprio perché valutano che un accettabile grado di maturità nel rispetto di tale principio sia ancora tutt’altro che diffuso.

Fino a che punto può spingersi la responsabilità di chi tratta dati?

E da qui scaturisce la seconda domanda che forse, ancora non trova una chiara risposta, se riferita alla possibilità di evitare di incorrere in una sanzione (quindi escludendo tutto il tema del risarcimento dell’eventuale danno all’interessato): fino a che punto può spingersi la responsabilità di chi tratta dati?

Per il solo fatto di trattare dati personali siamo comunque chiamati a rispondere di qualsiasi tipo di violazione di sicurezza oppure ci sono dei limiti, oltre i quali ci si può considerare “scriminati”?

Il rischio di disincentivare gli investimenti in sicurezza

Se così non fosse, si tratterebbe di una vera e propria responsabilità oggettiva.  Il rischio, se si accede a una interpretazione così estesa della responsabilità di chi tratta dati, è che da questo possa generarsi, paradossalmente, il risultato di de-incentivare la scelta di investire in misure di sicurezza efficaci. Queste, infatti, in quanto tali si rivelano spesso impegnative dal punto di vista operativo e altrettanto spesso costose.  Quindi, partendo dal presupposto che in ogni caso il “rischio zero” non esiste e, visto che comunque una sanzione in caso di incidente di sicurezza o di verifica potrebbe arrivare lo stesso, perché investire?

Verifiche, audit e stress test: spesso sono ignorati

D’altro canto, non è difficile notare come solo pochi player, sia nel settore pubblico che nel settore privato, si stiano seriamente rendendo conto di dover metter mano alla progettazione per comprendere i propri processi di trattamento e disegnarli-ridisegnarli in modo che siano assistiti da misure di sicurezza (tecniche ed organizzative) efficaci.

Anche gli audit e gli stress test sono ancora molto rari e limitati spesso ai soli sistemi informatici. Raramente si spingono a valutare le procedure in essere per testarne l’efficacia. Altrettanto raramente le verifiche sui fornitori vanno oltre la fase documentale. Le prequalifiche, rispetto alla capacità di garantire misure tecniche ed organizzative adeguate, sono più rare degli unicorni.

L’altro lato della medaglia è la diffidenza, quantomeno apparente, dimostrata negli anni dalle varie Autorità di Controllo nei confronti della “responsabilizzazione” dei titolari del trattamento.

Lo dimostrano i vari provvedimenti che tendono ad appiattire il principio di cui sopra, dettando termini e limiti specifici.

Perché rischiamo di allontanarci dalla logica del Gdpr

Il rischio è di tornare a quanto di più lontano dalla logica del GDPR, di tornare al “ti dico cosa puoi e non puoi fare, se tratti dati personali, e una volta che lo hai fatto, sei a posto”.

Ma che sia questo quello che davvero vogliono i titolari del trattamento?

Magari si, a ragione della necessità di maggiore chiarezza e maggiori certezze ma, francamente, spero di no, perché altrimenti si vanificherebbe buona parte della portata innovativa e dirompente del Regolamento Europeo.

E allora cosa fare, per non tornare indietro di 6 anni?

L’importanza dei Codici di Condotta

Il GDPR stesso offre strumenti utili a circostanziare le proprie norme e, questi, sono i Codici di Condotta.

Diversamente dai Provvedimenti di portata generale (ad esempio linee guida) emanati dalle Autorità di Controllo, essi provengono dalle associazioni o dagli organismi rappresentativi di segmenti di mercato e, per ciò stesso, presuppongono una attenta valutazione (di parte) sui trattamenti che disciplinano, in pieno spirito di accountability.

E allora puntare ancora di più sulla elaborazione di Codici di condotta per tutti quei segmenti di mercato ed ambiti di trattamento che attualmente creano incertezze e, di conseguenza, ambiti di rischio (sia per chi tratta dati che per gli interessati) potrebbe essere la strada più corretta per salvaguardare l’esigenza di certezze da parte dei titolari del trattamento e, al tempo stesso, il vero spirito del GDPR: l’accountability.                                                                  

EU Stories - La coesione innova l'Italia

Tutti
Analisi
Video
Iniziative
Social
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati