Recenti provvedimenti danno adito al pensiero che, forse, il principio di accountability non goda di buona salute.
In particolare, la domanda che ci si pone tra addetti ai lavori è sino a che punto il concetto di accountability sia stato effettivamente abbracciato, in questi primi sei anni di applicazione del GDPR, da Enti, Imprese e dalle stesse Autorità di Controllo.
Mentre esploriamo i limiti della responsabilità nel trattamento dei dati, emerge l’importanza degli investimenti in sicurezza, che invece, come vedfremo, rischiano di essere disincentivati, e il ruolo cruciale dei Codici di Condotta.
Accountability, la resistenza dei titolari del trattamento e delle Autorità di controllo
Si osserva ancora, infatti, una certa resistenza da parte dei titolari del trattamento, che non sembrano voler davvero comprendere che “l’allegato b” e l’approccio formalistico sono ormai superati da un approccio proattivo e tutto imperniato sul rischio e sulla sua attenta analisi e valutazione.
D’altronde, anche chi si impegna nella suddetta valutazione, il più delle volte lo fa in modo, appunto, formale, senza entrare nella vera analisi a tutto tondo che dovrebbe essere presupposto ed elemento fondante della progettazione di ogni processo che comporti il trattamento di dati personali.
Altrettanta resistenza, però, si osserva anche da parte delle Autorità di controllo che sembrano talvolta estremamente restie a concedere fiducia ai titolari. Forse proprio perché valutano che un accettabile grado di maturità nel rispetto di tale principio sia ancora tutt’altro che diffuso.
Fino a che punto può spingersi la responsabilità di chi tratta dati?
E da qui scaturisce la seconda domanda che forse, ancora non trova una chiara risposta, se riferita alla possibilità di evitare di incorrere in una sanzione (quindi escludendo tutto il tema del risarcimento dell’eventuale danno all’interessato): fino a che punto può spingersi la responsabilità di chi tratta dati?
Per il solo fatto di trattare dati personali siamo comunque chiamati a rispondere di qualsiasi tipo di violazione di sicurezza oppure ci sono dei limiti, oltre i quali ci si può considerare “scriminati”?
Il rischio di disincentivare gli investimenti in sicurezza
Se così non fosse, si tratterebbe di una vera e propria responsabilità oggettiva. Il rischio, se si accede a una interpretazione così estesa della responsabilità di chi tratta dati, è che da questo possa generarsi, paradossalmente, il risultato di de-incentivare la scelta di investire in misure di sicurezza efficaci. Queste, infatti, in quanto tali si rivelano spesso impegnative dal punto di vista operativo e altrettanto spesso costose. Quindi, partendo dal presupposto che in ogni caso il “rischio zero” non esiste e, visto che comunque una sanzione in caso di incidente di sicurezza o di verifica potrebbe arrivare lo stesso, perché investire?
Verifiche, audit e stress test: spesso sono ignorati
D’altro canto, non è difficile notare come solo pochi player, sia nel settore pubblico che nel settore privato, si stiano seriamente rendendo conto di dover metter mano alla progettazione per comprendere i propri processi di trattamento e disegnarli-ridisegnarli in modo che siano assistiti da misure di sicurezza (tecniche ed organizzative) efficaci.
Anche gli audit e gli stress test sono ancora molto rari e limitati spesso ai soli sistemi informatici. Raramente si spingono a valutare le procedure in essere per testarne l’efficacia. Altrettanto raramente le verifiche sui fornitori vanno oltre la fase documentale. Le prequalifiche, rispetto alla capacità di garantire misure tecniche ed organizzative adeguate, sono più rare degli unicorni.
L’altro lato della medaglia è la diffidenza, quantomeno apparente, dimostrata negli anni dalle varie Autorità di Controllo nei confronti della “responsabilizzazione” dei titolari del trattamento.
Lo dimostrano i vari provvedimenti che tendono ad appiattire il principio di cui sopra, dettando termini e limiti specifici.
Perché rischiamo di allontanarci dalla logica del Gdpr
Il rischio è di tornare a quanto di più lontano dalla logica del GDPR, di tornare al “ti dico cosa puoi e non puoi fare, se tratti dati personali, e una volta che lo hai fatto, sei a posto”.
Ma che sia questo quello che davvero vogliono i titolari del trattamento?
Magari si, a ragione della necessità di maggiore chiarezza e maggiori certezze ma, francamente, spero di no, perché altrimenti si vanificherebbe buona parte della portata innovativa e dirompente del Regolamento Europeo.
E allora cosa fare, per non tornare indietro di 6 anni?
L’importanza dei Codici di Condotta
Il GDPR stesso offre strumenti utili a circostanziare le proprie norme e, questi, sono i Codici di Condotta.
Diversamente dai Provvedimenti di portata generale (ad esempio linee guida) emanati dalle Autorità di Controllo, essi provengono dalle associazioni o dagli organismi rappresentativi di segmenti di mercato e, per ciò stesso, presuppongono una attenta valutazione (di parte) sui trattamenti che disciplinano, in pieno spirito di accountability.
E allora puntare ancora di più sulla elaborazione di Codici di condotta per tutti quei segmenti di mercato ed ambiti di trattamento che attualmente creano incertezze e, di conseguenza, ambiti di rischio (sia per chi tratta dati che per gli interessati) potrebbe essere la strada più corretta per salvaguardare l’esigenza di certezze da parte dei titolari del trattamento e, al tempo stesso, il vero spirito del GDPR: l’accountability.
