Accountability, principio cardine del Gdpr

ROMA - Come noto, l’accountability è uno dei principi generali su cui si fonda il Regolamento UE 2016/679 (GDPR) che all’art. 24 dispone che il responsabile del trattamento è tenuto ad adottare politiche e attuare misure adeguate per garantire ed essere in grado di dimostrare che il trattamento dei dati personali sia avvenuto in modo conforme al Regolamento stesso.

Il concetto di “Accountability” potrebbe essere tradotto semplicemente con “principio di rendicontazione”, “responsabilità” o, meglio ancora, “prova della responsabilità”. Tale termine richiama almeno due accezioni distinte e fondamentali allo stesso tempo: Il dar conto all’esterno, in particolare al complesso degli stakeholder, in modo esaustivo e comprensibile, del corretto utilizzo delle risorse e della produzione di risultati in linea con gli scopi istituzionali; l’esigenza di introdurre logiche e meccanismi di maggiore responsabilizzazione interna alle aziende e alle reti di aziende relativamente all’impiego di tali risorse e alla produzione dei correlati risultati.

Il termine utilizzato per cercare di svelare il significato nascosto all’interno di questo concetto è di derivazione anglosassone e il suo uso diretto al di fuori della lingua inglese dipende, principalmente, dall’assenza di una traduzione diretta ed efficace.

Il concetto di "responsabilità"

Nella maggior parte delle lingue neolatine (francese, spagnolo, italiano, portoghese), il termine più usato per tradurre quello di accountability è “responsabilità”. Anche nelle lingue nord-europee (olandese, danese, tedesco) si usa spesso il termine responsabilità ma in un’accezione che è più vicina a quella anglosassone. In russo, infine, si usa un termine molto simile a quello di “rendicontazione”.

Nessuna delle due accezioni è corretta e il ricorso al termine “responsabilità” appare improprio. Da un punto di vista squisitamente lessicale il termine “accountability” è una parola composta: il verbo “to account” è traducibile in italiano come “dar conto” mentre il sostantivo “ability” può essere inteso come “essere in grado di”. Letteralmente “accountability” sarebbe quindi “l’attitudine a dar conto”; in questo modo essa non implica certo una responsabilità, cioè il fatto di essere chiamati a dar conto di certi atti e di doverne subire le conseguenze, né tantomeno su può parlare di “rendicontazione” che può indicare l’atto, ma non certo l’attitudine.

L'accountability è un principio cardine del Gdpr

Per rendere appieno il significato che si cela dietro questo termine bisognerebbe realizzare un “calco linguistico”, parlando ad esempio di “rendicontabilità”. Nel caso di specie, sembra però preferibile ricorrere ad un “prestito linguistico” piuttosto che ad un “calco linguistico”, essendo consapevoli del fatto che ciò che crea maggiori problemi non è tanto l’aspetto linguistico in sé considerato, quanto la vaghezza concettuale.

L’accountability coinvolge aspetti quali l’affidabilità e la competenza aziendale nella gestione dei dati personali ed è stata oggetto di particolari attenzioni fin dalla 32ma Conferenza Internazionale sulla Protezione dei Dati Personali che si tenne a Gerusalemme nell’ottobre 2010; in quell’occasione furono trattati temi particolarmente innovativi tra cui i Social Networks, la Privacy by Design, il diritto all’oblio digitale e, appunto, l’accountability che rappresentò la vera novità. Essa fu originariamente elaborata per favorire il flusso di dati personali a livello internazionale ma può senza dubbi avere un’applicazione più ampia, finendo col rappresentare un più generale paradigma nel trattamento dei dati personali.

Le fonti dell’accountability possono essere di varia natura: legislative, amministrative e contrattuali. A prescindere dalla fonte, il titolare del trattamento deve essere in grado di dimostrare di aver adottato un complesso di misure giuridiche, organizzative e tecniche per la protezione dei dati personali anche attraverso l’elaborazione di specifici modelli organizzativi, analoghi a quelli utilizzati per dare seguito alle direttive imposte dal legislatore con il D. Lgs. 231/01 (Responsabilità degli Enti per gli illeciti amministrativi dipendenti da reato).

Un impianto normativo adeguato

In un sistema complesso quale è quello in cui viviamo, in cui è necessario contemperare le esigenze di una moltitudine di soggetti che operano quotidianamente nel tessuto socioeconomico, è stata avvertita fin dal primo momento l’esigenza di poter contare su un impianto normativo che consentisse l’utilizzo di dati di varia natura al fine di generare flussi utili allo sviluppo di un’economia sovranazionale; una tale necessità, tuttavia, si è scontrata con un dato di fatto che in qualche modo ne limitava notevolmente le capacità espansive ossia la presenza di legislazioni nazionali diversificate, alcune più permissive, altre più restrittive, che ponevano notevoli problemi di bilanciamento, anche dal punto di vista della neonata Unione Europea.

L’accountability è oggi considerata come un approccio pratico alla privacy e al trattamento dei dati personali; essa punta, pertanto, allo sviluppo di strumenti che possano essere utilizzati dalle organizzazioni per valutare lo stato della propria accountability e renderne conto alle Autorità Garanti per la protezione dei dati personali.

Dal punto di vista generale, però, nonostante la centralità dell’accountability, questo tema non è stato ancora studiato a sufficienza sotto il profilo teorico e pratico; essa è al centro degli studi e delle strategie di riforma del management pubblico a livello internazionale e oggi, nella maggior parte dei Paesi, si stanno sviluppando dei sistemi di accountability orientati ad una logica di performance; difatti l’analisi compiuta da soggetti qualificati ha consentito di giungere ad una conclusione che accomuna le esperienze di ben 97 paesi: le nuove forme di accountability contribuiscono a migliorare l’efficacia e l’efficienza delle amministrazioni pubbliche.

(Articolo di Michele Iaselli, Coordinatore del Comitato Scientifico di Federprivacy)