Accountability – Responsabilizzazione
In base al principio di accountability, o di responsabilizzazione, secondo la traduzione italiana, il titolare del trattamento deve adottare misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è stato effettuato conformemente al GDPR (art. 24 GDPR).
Tali misure tecniche e organizzative devono essere riesaminate e aggiornate qualora necessario.
La valutazione dell’adeguatezza delle misure tecniche e organizzative deve tenere conto:
– della natura del trattamento;
– dell’ambito di applicazione del trattamento;
– del contesto del trattamento;
– delle finalità del trattamento;
– dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche;
Il legislatore europeo lascia piena libertà al titolare del trattamento nella scelta di quelle che ritiene le misure tecniche ed organizzative adeguate al trattamento, sempre che sia in grado di dimostrare tale adeguatezza.
E, qualora non sia in grado di dimostrarla, l’art. 83 GDPR, che regolamenta l’applicazione di sanzioni amministrative pecuniarie, individua nella rilevata inadeguatezza di tali misure un elemento determinante per stabilire il grado di responsabilità del titolare del trattamento nel mancato rispetto degli obblighi ad esso imputati dal Regolamento. La conseguente sanzione amministrativa pecuniaria sarà da determinarsi entro massimo edittale fino a 10.000.000 di euro o, se superiore, in base al 2% del fatturato mondiale annuo dell’esercizio precedente.
Il principio di accountability si applica anche al responsabile del trattamento.
Per approfondimenti:
Accountability tra libertà di scelta e obbligo del rispetto di standard minimi di adeguatezza (link all’articolo)