A un anno dalla pubblicazione in Gazzetta, il GDPR sconta tuttora una serie di incomprensioni sull’intepretazione di “accountability“. Le difficoltà legate alla traduzione dell’esatto equivalente in italiano del termine gioca un ruolo di non poco conto nel comprendere appieno la portata e il senso del corrispondente, che appare nel il testo inglese del GDPR. Facciamo chiarezza in vista del peso sempre maggiore che avrà la trasparenza nella gestione dei dati personali nel nostro futuro.
Il traduttore si trova di fronte al classico caso in cui è necessario ricorrere a una chiave interpretativa che possa trasmettere al lettore, attraverso plurimi riferimenti semantici, l’idea sottostante al concetto di essere “accountable”, come inteso nella quotidiana percezione anglosassone, per poter così fornire al giurista gli strumenti atti a individuare nel modo più esatto possibile il contenuto delle obbligazioni poste a carico del Titolare del trattamento e comprendere i risvolti pratici in termini di compliance del principio cardine della normativa europea, che si avvia verso il suo primo compleanno.
Accountability, la definizione dell’authority UK
Una delle definizioni più pregnanti di questo concetto è rinvenibile nel sito dell’Information Commissioner’s Office (ICO) – l’Autorità di controllo inglese:
“Accountability is not a box-ticking exercise. Being responsible for compliance with the GDPR means that you need to be proactive and organised about your approach to data protection, while demonstrating your compliance means that you must be able to evidence the steps you take to comply”.
“L’accountability non consiste in una mera spunta di caselle. Una compliance responsabile al GDPR significa essere proattivi e avvicinarsi alla protezione dei dati personali secondo modalità strutturate. Per contro, dar prova della propria compliance significa essere in grado di dimostrare i passi che vengono intrapresi per rendersi compliant”.
Il Titolare sarà, quindi, “accountable”, se riuscirà a dar conto:
● di quello che fa
● del perché lo fa
● di come lo fa
lungo tutto un processo che inizia dalla fase di progettazione del trattamento, attraverso un approccio strutturato, dimostrando competenza e capacità gestionale.
L’attività posta in essere dall’Information Commissioner’s Office inglese, guidato dal 2016 da Elisabeth Denham, e perseguita anche in futuro – indipendentemente da quelli che saranno gli sviluppi della Brexit – è probabilmente il punto di partenza più autorevole per procedere all’analisi del significato e della portata dell’accountability.
Nel corso della Data Protection Pratictioners’ Conference, tenutasi a Manchester l’8 aprile scorso, Elisabeth Denham – rivolgendosi a un parterre internazionale di 800 Privacy Officers – ha più volte sottolineato che “L’accountability è la sintesi di tutto ciò che riguarda il GDPR. È quel principio di legge che prefigura per le aziende l’onere di comprendere e di diventare consapevoli circa i rischi che possono far correre alle persone, trattando i loro dati e il correlato dovere di mitigare tali rischi.” [1]
Il Garante inglese ha altresì evidenziato come “un approccio che prenda le mosse dall’accountability non può che fornire a chi ha nozioni necessarie e passione un’occasione per vedere cambiare il mondo e un’opportunità per lasciare un segno in questo processo”.
GDPR seconda fase: l’accountability al centro
Il rispetto del principio dell’accountability, d’altra parte, ha sempre costituito e costituirà sempre di più una priorità assoluta nonché il cuore delle attività di verifica dell’ICO. A Manchester è stata prefigurata una seconda e nuova fase del GDPR, tesa al raggiungimento di sistemi di protezione dei dati pienamente integrati con la governance delle organizzazioni e con tutti i processi in cui i dati personali vengono in rilevo.
L’importanza della questione è stata evidenziata piu volte prima dell’evento di Manchester, come in occasione del Congresso annuale del Global Privacy Enforcement Network da Adam Stevens, a capo of Intelligence Department dell’ICO: “I risultati suggeriscono che mentre le organizzazioni contattate dall’ICO e dai nostri partner internazionali hanno una buona conoscenza del concetto base di accountability, nella pratica vi è un significativo margine di miglioramento. È importante che le organizzazioni dispongano di adeguate misure tecniche e organizzative. Ciò include l’adozione di chiare politiche di protezione dei dati, l’adozione di un approccio di privacy by design e privacy by default e il continuo controllo e monitoraggio delle prestazioni e del rispetto delle norme e dei regolamenti sulla protezione dei dati. ” [2]
Anche sulla base dell’esame dei provvedimenti sanzionatori delle Autorità di controllo dei vari Stati membri, non pare azzardato prevedere che la linea ispettiva adottata dall’ICO non resterà isolata.
Le sanzioni comminate finora in Italia e all’estero
L’Autorità di controllo inglese già nel 2014 (sia pure sulla base del previgente Data Protection Act, 1988) comminava una multa di £60.00 al Norfolk County Council per non aver regolato adeguatamente, attraverso chiare procedure scritte, un’operazione di cessione di arredi interni e, nello specifico, per non aver debitamente controllato che tali componenti di arredamento fossero vuote al momento della consegna all’acquirente. La “dimenticanza” aveva portato a un trasferimento non solo di alcuni schedari, ma anche del loro contenuto: dossier personali riservati, contenenti dati sensibili di minori.
Di eguale tenore, quanto al fondamento della sanzione, la multa di £325.000 inflitta al Crown Prosecution Service (la Pubblica Accusa inglese) poco prima dell’entrata in vigore del GDPR, per aver perso DVD non protetti da crittografia, contenenti registrazioni di incontri con quindici minori vittime di abusi sessuali e costituenti materiale probatorio in altrettanti processi.
Al momento, i provvedimenti sanzionatori dell’ICO nell’era del GDPR censurano prevalentemente azioni di telemarketing illegittime o conseguono a Data Breach, causati da problematiche di cybersecurity. Anche in questi casi, tuttavia, emerge la questione delle carenze procedurali interne alle organizzazioni interessate e l’assenza di sistemi effettivi di privacy management.
Le ormai note pronunce del 2018 dei Garanti di Austria, Portogallo e Germania si collocano sulla stessa linea dei colleghi inglesi e sono legate tra loro dal leit-motif della inosservanza del principio in esame, che – a seconda dei casi – si concretizza nella incapacità di dimostrare gli adempimenti derivanti dal GDPR, nella incuria gestionale di trattamenti di dati particolari oppure nella inesatta gestione e documentazione di procedure quali, per esempio, la raccolta del consenso.
Per quanto riguarda l’Italia, la multa esemplare di € 840.000 del febbraio 2018 a Telecom Italia funge da monito, trovando la sua ratio non solo nella violazione del principio di trasparenza, ma anche e soprattutto nel riscontro di una totale mancanza di documentazione delle policies asseritamente adottate dal gestore telefonico e, quindi, ancora una volta nella carenza di accountability. Vedremo cosa succederà dopo lo spirare del termine di “pax – privacy” concesso dal D.lgs. 101 del 2018.
Se tale è la tendenza che si va delineando, occorre dunque chiedersi come poter affrontare nella pratica quotidiana il problema della compliance e se esistano delle linee guida o strumenti affidabili a supporto del processo di adeguamento ovvero di gestione dei sistemi privacy, tema questo di particolare rilevanza nel settore delle PMI, le quali spesso trattano consistenti quantità di dati personali, ma sono tendenzialmente dotate di meno risorse e, quindi, svantaggiate.
La guida elaborata e messa a disposizione dall’ICO si distingue per la sua chiarezza ed estrema comprensibilità per qualsiasi utente. Rimandando al sito istituzionale del Garante inglese per la consultazione della versione completa [3], procediamo di seguito a una sua rivisitazione sintetica.
Prima, doverosa, e utile premessa. Il GDPR impone, da una parte, di mettere in atto misure di tecniche e organizzative globali, ma precisa altresì che le stesse debbano essere di natura proporzionale, avute presenti le specifiche situazioni, insistendo sulla necessità che l’approccio alla privacy non abbia natura meramente formale. In altri termini, la gestione di un sistema privacy richiede una consapevolezza diffusa in tutta l’organizzazione di riferimento.
La forma si sposa con la sostanza e porta alla creazione di una serie di policies o procedure interne, che accompagnano l’attività quotidiana del Titolare attraverso una loro ampia condivisione a livello interno.
Le 10 azioni da intraprendere secondo ICO
- “Adozione e implementazione di policy a tutela dei dati personali” ossia proceduralizzazione, registrazione delle operazioni di trattamento, previa una esatta mappatura dei trattamenti effettuati. Le singole policy potranno essere più o meno stringenti e rigorose in relazione al volume e alle categorie di dati trattati e alla dimensione dell’organizzazione.
- “Adozione di un approccio basato sui principi della privacy by design e della privacy by default” durante tutto il ciclo di vita dei trattamenti. Un mero monitoraggio dei trattamenti in essere non è sufficiente. Occorrerà prestare una costante attenzione, volta all’individuazione di nuovi trattamenti per renderli privacy-oriented. Un esempio delle possibili conseguenze in caso contrario ci è dato dalla vicenda che ha portato alla sanzione nei confronti del Norfolk County Council.
- “Definizione e regolamentazione scritta dei rapporti con i Responsabili esterni del trattamento”. L’espressa esclusione di una natura puramente formalistica dell’approccio al GDPR porta ad escludere che i contratti con i Responsabili esterni possano essere mere riproduzioni dei requisiti prescritti dall’art. 28, favorendo invece una redazione ad hoc di tali documenti, avuto riguardo al contenuto del rapporto in essere e con particolare (ma non esclusivo) riferimento alle misure tecniche e organizzative, senza tralasciare la verifica di eventuali trasferimenti di dati verso Paesi extra UE.
- “Conservazione dei documenti comprovanti le attività di trattamento di dati personali”. Nonostante il dibattito dottrinario circa la necessità minimizzazione della produzione documentale, a parere di chi scrive e alla luce della situazione delineatasi, l’opzione documentale rimane la soluzione preferibile, anche in una prospettiva assicurativa. La stessa Autorità garante inglese torna più volte sul punto, insistendo in particolar modo su registro dei trattamenti e dedicando una apposita sezione del proprio sito ai documenti consigliati [4] e alle best practices relative. Ugualmente l’EDPS in numerosi documenti e linee guida.
- “Implementazione di misure di sicurezza adeguate” in relazione alle categorie di dati trattati e alla tipologia di trattamenti effettuati.
- “Registrazione e, se necessario, comunicazione di eventi di Data Breach”.
- “Effettuazione di una valutazione di impatto, nel caso in cui il trattamento di dati personali possa implicare un alto rischio per i diritti e le libertà degli interessati”.
- “Nomina di un Data Protection Officer” se necessario e, se possibile,
- “Adesione a codici di condotta o a schemi di certificazione”.
- “Monitoraggio, aggiornamento delle misure poste in essere e creazione di una cultura della privacy all’interno della propria organizzazione”.
L’accountability consiste solo in una serie di adempimenti a una legge europea?
Probabilmente una prima considerazione superficiale potrebbe portare a una risposta positiva. Ma la chiave di lettura del GDPR può essere molto diversa, guardando verso un futuro nemmeno troppo lontano.
I dati dimostrano che la consapevolezza dei consumatori sulla sorte dei propri dati personali affidati a terzi è in fase di progressivo e costante risveglio, grazie anche a tutte le azioni intraprese dalle Autorità di controllo nei confronti dei social network e di altri gestori di Big Data. Dal chiedersi cosa queste corporation facciano veramente con i nostri dati al chiedersi come questi dati vengano trattati anche da qualsiasi altra organizzazione, il passo appare breve. Su questo scacchiere, il rapporto di fiducia che si sarà riusciti a instaurare con l’utente dei nostri servizi o con l’acquirente dei nostri prodotti sarà probabilmente il vero fattore premiante e di successo.
“Accountability is not just about answering to a Regulator: organizations must also demonstrate compliance to individuals”.
(E. Denham)
- Cfr. “Elizabeth Denham’s speech at the Data Protection Practitioners’ Conference on 8 April 2019, https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2019/04/data-protection-practitioners-conference-2019/
- Cfr. “Organisations should be doing more to achieve privacy accountability”, https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2019/03/organisations-should-be-doing-more-to-achieve-privacy-accountability/
- ICO, “Accountability and governance”, https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/accountability-and-governance/
- ICO, “Documentation”, https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/accountability-and-governance/documentation/