Il GDPR si fonda sul principio della ACCOUNTABILITY, termine anglosassone impropriamente tradotto in “responsabilizzazione” o “rendicontazione”, ma che non rende l’idea del suo significato e della sua portata. E’, in estrema sintesi, il principio che impone ad un imprenditore, o comunque ad un Titolare di trattamento dati, di eseguire una valutazione preventiva in merito alla protezione degli stessi. In pratica viene posto a carico di ogni titolare il dovere di eseguire un controllo preventivo di quella che è la situazione dei dati della propria azienda, le tipologie di trattamento necessarie, la minimizzazione delle stesse e i sistemi più opportuni di protezione.

Se svolta correttamente può essere attività all’apparenza non semplice e estremamente complessa. Un costo forse non indifferente; ma niente se vengono considerati i rischi che si corrono nel sottovalutarla e non solo in termini di sanzioni che, in ogni caso, sono un forte sprone a muoversi nella giusta direzione. Inoltre, ed è intuitivo, una buona gestione del GDPR può essere un valido strumento per l’organizzazione interna dell’impresa.

Tutto ciò può ben quindi portare ad una revisione dei processi aziendali in quanto, dal precedente sistema di gestione standardizzata del trattamento, si è passati ad una forte personalizzazione in cui ogni Titolare è responsabilizzato in ordine alle proprie scelte che dovrà anche giustificare a fronte di richieste non solo da parte dell’autorità garante che, teniamo sempre ben presente, può non solo emettere pesanti sanzioni economiche, ma anche emettere provvedimenti vincolanti.

Ricordiamo infatti che le violazioni al GDPR possono assumere le più diverse sfumature e concretizzarsi non solo in un data breach, ma anche in un semplice trattamento di dati non necessari all’attività svolta dal titolare, mancanze di minore entità quali, ad esempio, errori nelle informative o nella raccolta del consenso in ordine ai minori o, non ultima, una mancata corretta conservazione.  

Il potere discrezionale concesso al Titolare è nelle mani anche del Garante che, in tal senso, si auspica e confida, che lo utilizzi tenendo presente le peculiarità di una materia, oltretutto a volte non chiara e suscettibile di interpretazione anche negli addetti ai lavori. Altri elementi da considerare sono gli stessi che deve valutare un imprenditore nella sua attività di audit per adeguarsi al GDPR. Su questo punto, in particolare, chi dovrà erogare le sanzioni eseguirà a posteriori le stesse valutazioni che l’imprenditore deve svolgere in via preventiva. Immaginiamo che l’autorità garante consideri la situazione e lo stato dell’arte nella stessa prospettiva e non calchi la mano sugli aspetti sanzionatori. Peraltro anche provvedimenti senza sanzioni economiche potrebbero avere conseguenze pesanti sulle finanze e l’organizzazione di un’impresa.

Recentemente il Garante, nel caso della grave violazione alla sicurezza dei dati subita da Italiaonline, in attesa di considerare l’emissione di provvedimenti sanzionatori, ha imposto alla società già vittima di un data breach, di rinnovare a tutti gli utenti i cui dati erano stati messi a rischio, attenendosi a rigorosi criteri che hanno sicuramente generato costi diretti per la loro esecuzione, nonché costi indiretti anche in tema di perdita di immagine.