Making Compliance Visible: Accountability under the GDPR

This thesis focuses on the principle of accountability introduced by Regulation (EU) 2016/679 (GDPR), conceived not merely as an open clause of responsibility but as a legal duty of professional diligence incumbent upon the data controller. The principle represents one of the most significant innovations of European data protection law, marking the transition from the reactive compliance model of Directive 95/46/EC to a proactive and demonstrable model, in which the controller is required not only to comply with the rules but also to provide documented evidence of the measures implemented. The first part analyses the legal nature of the principle, with particular attention to Articles 5(2), 24, 25 and 32 GDPR, highlighting its indeterminate scope and its parallelism with the standard of professional diligence set out in Article 1176(2) of the Italian Civil Code. The second part examines the instruments of implementation: codes of conduct, certification mechanisms, ISO standards, and the intersections with Directive (EU) 2022/2555 (NIS2). Although not always binding, these tools operate as normative and organizational infrastructures essential to translate accountability from an abstract principle into concrete practice. The final part, through three case studies, Wind Tre S.p.A., Amazon Web Services, and the EU Cloud Code of Conduct, compares systemic failure, individual excellence, and collaborative governance. The analysis demonstrates that the success of accountability depends on its cultural and strategic integration within organizations, rather than on mere formal adherence to regulatory requirements. The thesis therefore shows how accountability constitutes both an open legal standard and a systemic challenge, whose effectiveness depends on the development of clearer benchmarks, its convergence with other regulatory instruments, and the substantive commitment of controllers to responsible data governance.

l presente elaborato si concentra sul principio di accountability introdotto dal Regolamento (UE) 2016/679 (GDPR), inteso non soltanto come clausola aperta di responsabilità, ma come dovere giuridico di diligenza professionale del titolare del trattamento. Tale principio rappresenta una delle innovazioni più significative della disciplina europea in materia di protezione dei dati personali, poiché segna il passaggio da un modello di conformità meramente reattivo, tipico della Direttiva 95/46/CE, a un modello proattivo e dimostrabile, in cui il titolare è tenuto non solo a rispettare le norme, ma anche a fornire evidenza documentata delle misure adottate. Nella prima parte si analizza la natura giuridica del principio, con particolare attenzione agli articoli 5(2), 24, 25 e 32 GDPR, evidenziandone l’indeterminatezza applicativa e il parallelismo con la diligenza del professionista di cui all’art. 1176, comma 2, c.c. La seconda parte si concentra sugli strumenti di attuazione: codici di condotta, meccanismi di certificazione, standard ISO e le intersezioni con la Direttiva (UE) 2022/2555 (NIS2). Questi strumenti, pur non sempre vincolanti, si configurano come infrastrutture normative e organizzative indispensabili per tradurre l’accountability da principio astratto a prassi operativa. Infine, attraverso tre casi di studio, Wind Tre S.p.A., Amazon Web Services e il Codice di Condotta europeo per i servizi cloud, si offre una comparazione tra fallimento sistemico, eccellenza individuale e governance collaborativa. L’analisi dimostra che il successo dell’accountability dipende dalla sua integrazione culturale e strategica all’interno delle organizzazioni, e non dalla mera adesione formale a requisiti regolatori. L’elaborato mette dunque in luce come l’accountability rappresenti al contempo un criterio giuridico aperto e una sfida sistemica, la cui efficacia richiede l’elaborazione di standard più chiari, la convergenza con altri strumenti normativi e una responsabilizzazione sostanziale dei titolari del trattamento.