L’Applicazione concreta dall’accountability come fattore attenuante nel caso di sanzioni
Per anni, molte organizzazioni hanno interpretato la conformità al GDPR come un esercizio prevalentemente documentale che prevede redazione di informative, designazione del Data Protection Officer, compilazione del registro dei trattamenti, predisposizione di contratti con i responsabili del trattamento. Questi adempimenti, pur necessari, rappresentano però solo la superficie di un sistema che deve essere vivo, funzionante e costantemente aggiornato.
(Nella foto: l'Ing. Monica Perego, docente del Corso di alta formazione per Data Manager)
La governance sostanziale richiede qualcosa di più profondo. L’integrazione della protezione dei dati nei processi decisionali aziendali fin dall’origine. Un tale modello può fornire anche concreti fattori attenuanti nel caso di sanzioni amministrative inflitte dall’autorità di controllo come recita l’art. 83 del GDPR.
Accountability in azione: il caso del data breach - Per comprendere concretamente come applicare le logiche che sottendono all’accountability e ridurre l’impatto sanzionatorio, è utile analizzare uno scenario di gestione di una violazione dei dati personali. Il data breach è il momento in cui il sistema organizzativo viene sottoposto alla sua prova più severa.
Scenario: la clinica odontoiatrica e l'attacco ransomware - Una clinica odontoiatrica privata subisce un attacco ransomware che cifra i server contenenti le cartelle cliniche elettroniche di alcune migliaia di pazienti. L’accesso ai dati è temporaneamente impossibile; non è immediatamente chiaro se vi sia stata esfiltrazione dei dati verso soggetti terzi. L’art. 33 del GDPR impone tempi ristretti di notifica laddove richiesta. L’accountability si misura anche su come l’organizzazione risponde nelle ore e nei giorni successivi all’evento.
1. Attivazione immediata della procedura interna – La clinica ha documentato – prima dell’incidente – una procedura che definisce chi deve essere avvisato (titolare del trattamento, DPO, vertici aziendali, responsabile ICT, legale, responsabili del trattamento), in quale ordine e modalità. L’assenza di questa procedura è già di per sè un elemento di criticità.
2. Valutazione del rischio e decisione sulla notifica - Il titolare, in coordinamento con il responsabile ICT, conduce rapidamente una valutazione del rischio per gli interessati analizzando: tipologia di dati coinvolti, numero di soggetti coinvolti, probabilità di accesso da parte di terzi, potenziali conseguenze (furto di identità, discriminazione, danni alla salute).
La valutazione va documentata per iscritto, con indicazione delle fonti e del metodo utilizzato, applicando quanto indicato nella procedura. Il DPO può essere membro del team di crisi o solo tenuto informato
3. Notifica al Garante nei termini - Se la valutazione evidenzia, come nell’esempio, una situazione che lede i diritti e le libertà degli interessati, la notifica va effettuata entro 72 ore. È ammessa la notifica parziale – quando non tutti i dati sono disponibili – purché seguita da integrazioni successive. La tempestività è essa stessa un indicatore di accountability.
4. Comunicazione agli interessati ove richiesta - Se il rischio per gli interessati è elevato, scatta anche l’obbligo di comunicazione diretta. Gli interessati devono essere informati in modo chiaro e con linguaggio non tecnico, indicando la natura dell’incidente, le categorie di dati coinvolti, le misure adottate e le azioni che possono intraprendere per tutelarsi. Anche le formule utilizzate per la comunicazione a terzi hanno valenza ai fini dell’accountability.
5. Documentazione interna del data breach - Indipendentemente dall’obbligo di notifica, l’art. 33, par. 5, il titolare deve documentare qualsiasi violazione, comprese le circostanze, le conseguenze e i rimedi adottati non solo per risolvere la problematica(trattamento) ma soprattutto le misure poste in atto affinché questa non si ripresenti o non si ripresenti altrove (azione correttiva). Il Registro degli incidenti è uno strumento di accountability in senso proprio; tramite il Registro il Garante può verificare che l’organizzazione abbia trattato l’incidente in modo sistematico e non episodico.

Il risultato atteso - L’organizzazione che ha gestito l’evento in modo documentato e tempestivo dimostra un presidio reale dei processi. Il Garante, in sede di valutazione, tiene conto della reattività e della correttezza della risposta.
Conclusioni - Il GDPR (art. 83) e le linee guida EDPB sulle sanzioni individuano specifici fattori che il Garante deve considerare nella determinazione delle sanzioni. Tra i fattori attenuanti rilevanti per l’accountability: la trasparenza verso i vari soggetti, la cooperazione con l’autorità, l’adozione di misure preventive adeguate, la documentazione la notifica tempestiva, la pronta attivazione di rimedi, la natura non dolosa della condotta.
Tra i fattori aggravanti: la mancanza di procedure interne, la recidività, durata della violazione, la mancata cooperazione e ritardo nella risposta agli interessati. Il Garante ha infatti progressivamente affinato il proprio approccio ispettivo e sanzionatorio, spostando il focus dalla verifica della mera esistenza dei documenti all’analisi della loro effettiva applicazione nei processi aziendali. Attraverso tali misure si dimostra un approccio mirato a garantite l’accountability, termine che il legislatore europeo ha volutamente lasciato in lingua inglese, sottolineandone il carattere di principio autonomo e trasversale.







