Art. 24 GDPR — Responsabilità del titolare del trattamento

Commento

L'accountability come architettura

L'art. 24 GDPR è la pietra angolare dell'accountability del titolare del trattamento. Il par. 1 stabilisce la regola generale: tenuto conto della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, il titolare mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al Regolamento. La regola è proattiva e proporzionata: il titolare progetta la compliance in base al rischio, non a checklist astratte.

Misure tecniche e organizzative adeguate (par. 1)

Le misure tecniche includono cifratura, controlli di accesso, monitoraggio, audit log, sicurezza dei sistemi, business continuity. Le misure organizzative includono politiche scritte, formazione del personale, designazione del DPO ove richiesto, procedure di gestione dei diritti, processi di notifica breach, valutazioni periodiche. Le misure vanno calibrate al rischio: per trattamenti standard, misure ordinarie; per trattamenti su larga scala o di categorie particolari, misure rafforzate. L'art. 24 si coordina con l'art. 25 (privacy by design) e l'art. 32 (sicurezza).

Politiche di protezione (par. 2)

Il par. 2 specifica che, se proporzionate rispetto alle attività di trattamento, le misure di cui al par. 1 includono l'attuazione di politiche adeguate in materia di protezione dei dati da parte del titolare. Le politiche sono documenti operativi: privacy policy interne, procedure di gestione dei diritti, response plan breach, procedure di transferimenti, criteri di selezione dei responsabili. La proporzionalità è valutata in base alla complessità e al rischio del trattamento: grandi organizzazioni richiedono framework strutturati; piccole entità possono adottare modelli essenziali.

Codici di condotta e certificazioni (par. 3)

Il par. 3 prevede che l'adesione a codici di condotta approvati (art. 40) o a meccanismi di certificazione approvati (art. 42) possa essere utilizzata come elemento per dimostrare il rispetto degli obblighi del titolare. È strumento di soft accountability: la certificazione non sostituisce la responsabilità ma fornisce evidenza di conformità. Codici settoriali (sanità, telco, marketing) e schemi di certificazione (ISO 27701, Europrivacy, EuroPriSe) sono in sviluppo. L'EDPB approva codici transnazionali; il Garante italiano approva codici nazionali.

Responsabilità verso interessati e autorità

L'art. 24 è il fondamento delle sanzioni amministrative ex art. 83: la responsabilità del titolare è autonoma e oggettiva (nei limiti previsti), e si traduce in obbligo risarcitorio ex art. 82. Il titolare risponde verso gli interessati per i danni causati da violazioni e verso il Garante per le sanzioni. L'accountability è onere della prova: in ispezione il titolare deve esibire le evidenze di conformità (policy, registri, DPIA, log, formazione, audit). Il silenzio probatorio si traduce in valutazione negativa.

Rapporto con privacy by design

Il coordinamento con il privacy by design (art. 25) è organico: le misure adeguate dell'art. 24 includono la progettazione del trattamento, non solo l'esecuzione. Il titolare deve incorporare la protezione nel ciclo di vita del trattamento: dalla definizione del progetto alla cessazione. La governance privacy moderna integra art. 24, art. 25, art. 30 (registro), art. 32 (sicurezza), art. 35 (DPIA), art. 37 (DPO) in un sistema unitario. La compliance non è documento singolo, ma processo continuo.

Regola pratica e checklist operativa

Compliance art. 24: (i) gap analysis iniziale per identificare lacune; (ii) framework documentato (policy, registro, procedure); (iii) DPO designato ove richiesto; (iv) formazione periodica del personale; (v) DPIA per trattamenti a rischio; (vi) audit interni; (vii) aderenza a codici/certificazioni; (viii) documentazione versionata. L'accountability è processo continuo, non snapshot.

Accountability e documentazione

Tutti gli adempimenti relativi a questa disposizione devono essere documentati ai fini del principio di accountability di cui all'art. 5, par. 2 GDPR: integrazione nel registro dei trattamenti (art. 30), valutazione del rischio in DPIA quando applicabile (art. 35), formazione del personale autorizzato al trattamento (art. 29), audit periodici e tracciamento delle decisioni. Le sanzioni amministrative di cui all'art. 83 GDPR e la responsabilità civile dell'art. 82 presuppongono la dimostrazione, da parte del titolare, di aver adottato misure tecniche e organizzative adeguate. La consulenza del DPO, ove designato, è strumento prezioso per la corretta declinazione operativa.

Coordinamento con il Codice Privacy italiano

L'applicazione di questa disposizione in Italia avviene in coordinamento con il D.Lgs. 196/2003 (Codice in materia di protezione dei dati personali) come modificato dal D.Lgs. 101/2018 di adeguamento al GDPR. Il Codice integra il Regolamento europeo nelle materie specifiche lasciate alla discrezionalità degli Stati membri: lavoro (art. 88 D.Lgs. 196/2003), sanità (artt. 75 ss.), ricerca scientifica e statistica (artt. 99-110), giornalismo (art. 137), archivi (artt. 99-103), trattamento di categorie particolari (art. 2-septies), dati di condanne penali (art. 2-octies), limitazioni (art. 2-undecies). I provvedimenti generali e le regole deontologiche approvati dal Garante per la protezione dei dati personali hanno valore precettivo e devono essere considerati. La giurisprudenza della Cassazione e del Tribunale di Roma (competente per ricorsi ex art. 152 D.Lgs. 196/2003) ha consolidato la prassi interpretativa nazionale, coerente con la giurisprudenza CGUE. Per il consulente privacy, l'approccio sistematico richiede integrazione di GDPR, Codice Privacy e provvedimenti del Garante in un framework unitario di compliance.