Accountability: cosa significa
Accountability è una parola presa in prestito dal diritto anglosassone, che viene tradotta dal vocabolario come “responsabilità” o “obbligo di rispondere di qualcosa”.
In realtà, ciò non è sufficiente ad esprimere in modo esaustivo il significato di accountability. Si tratta infatti di un concetto estraneo al diritto italiano e per il quale non esiste una traduzione esatta. Sarà quindi necessario continuare ad utilizzare il termine in lingua inglese ed assorbirne il significato. Assimilare il principio di accountability costituisce la chiave di volta per comprendere la rivoluzione operata dal GDPR.
Il GDPR: una rivoluzione che si riassume nel principio di accountability
Negli ultimi due o tre anni, il GDPR è diventato lo spauracchio di molte imprese, le quali, in misura maggiore o minore, si trovano tutte quante a dover trattare dati personali (dei loro clienti, fornitori o anche solo dei loro dipendenti).
Ma per quale motivo il GDPR ha creato e sta tutt’ora creando tutto questo scalpore? Del resto, la normativa sulla privacy e gli obblighi che ne derivano per le imprese non sono certo una novità. Sin dalla direttiva madre 95/46/CE, attuata in Italia con la legge n. 675 del 1996, le imprese italiane ed europee erano tenute a confrontarsi con gli obblighi derivanti dai trattamenti di dati personali. Cos’è quindi che ha attirato tanta attenzione sul GDPR?
Sicuramente la misura delle sanzioni (sino a 20 milioni di Euro o al 4% del fatturato mondiale annuo) hanno rappresentato un campanello di allarme. Non dobbiamo però dimenticare che si tratta soltanto di un aumento dei valori massimi, che dovrebbe preoccupare le multinazionali ed i colossi del web ma non incidere significativamente sulle sanzioni applicate a piccole e medie imprese, che del resto erano salate anche prima del GDPR.
Il GDPR ha introdotto alcune novità significative, quali la nomina in alcuni casi del DPO, il registro dei trattamenti, le notifiche dei data breach, l’obbligo di contrattualizzare i fornitori responsabili dei trattamenti etc. Ma i nuovi adempimenti si bilanciano anche con diverse semplificazioni, come l’abolizione delle notifiche preventive al Garante o dei requisiti minimi di sicurezza di cui all’Allegato B del Codice Privacy.
La vera rivoluzione attuata dal GDPR non sta in questi singoli aspetti normativi ma proprio nel principio di accountability.
Il fallimento dell’approccio formale alla privacy
Il GDPR ha rivoluzionato completamente il modo di approcciarsi alla protezione dei dati personali. La Commissione Europea, preso atto del fallimento dell’approccio formale, che imponeva a tutti indistintamente il rispetto di regole predeterminate e requisiti minimi di sicurezza, ha deciso di adottare un approccio completamente diverso, basato sulla risposta ai rischi concreti. Si tratta di un approccio inedito per il diritto italiano e gli ordinamenti di Civil Law ma noto al diritto anglosassone, dove nasce appunto il concetto di accountability, e già applicato nelle norme volontarie di certificazione, coma la ISO 27001.
L’approccio formale alla privacy si traduceva spesso in una serie di inutili adempimenti burocratici. Fogli su fogli scopiazzati a destra e a manca, pieni di errori e fatti firmare senza che nessuno sapesse realmente che cosa ci fosse scritto. Quante volte ci siamo sentiti dire “firmi quì, quì e quì… non si preoccupi è solo per la privacy!“. Ciò ha contribuito a creare una naturale antipatia per questa norma, vista solo come un appesantimento, che di fatto non apportava miglioramenti per i diritti e le libertà delle persone.
L’introduzione di un approccio basato sul rischio concreto e dell’accountability
Il fallimento dell’approccio formale alla privacy è dovuto dal tentativo di equiparare situazioni capillarmente diverse fra loro, attribuendo a ciascuna i medesimi obblighi. Se è vero infatti che tutte le imprese trattano dati personali, anche soltanto con riferimento ai loro dipendenti, è evidente che i rischi reali che questi trattamenti comportano per le libertà delle persone variano notevolmente da caso a caso e non possono essere trattati ugualmente.
Una piccola impresa informatica, anche con pochi dipendenti, tratta molti più dati e con un rischio molto più elevato rispetto ad una società, anche di notevoli dimensioni, che opera nel campo dell’edilizia oppure nell’industria manifatturiera.
Pensiamo invece ai rischi determinati dai trattamenti effettuati da un ospedale o da un laboratorio di analisi. Le conseguenze derivanti dalla perdita di integrità di una cartella clinica, dall’alterazione di un referto medico o da un scambio d’identità possono essere fatali. É quindi evidente che gli obblighi di sicurezza non possano essere gli stessi a cui è soggetto un negozio di elettrodomestici.
Preso atto di queste differenze, cosa poteva fare il legislatore europeo? Come conciliare l’esigenza di avere una normativa uguale per tutti con quella di calibrare gli adempimenti su ogni singolo caso concreto?
La risposta sta proprio nell’adozione di un approccio basato sul rischio e nel principio di accountability.
La responsabilizzazione degli imprenditori
Prima del GDPR, ciascun imprenditore senza distinzioni era tenuto a conformarsi con una serie di adempimenti minimi di sicurezza contenuti nell’Allegato B al Codice Privacy. Ad esempio, occorreva: aggiornare le password ogni 6 o 3 mesi, fare il backup ogni settimana, aggiornare l’antivirus ogni 6 mesi, fare il patching dei software ogni anno o semestralmente etc.
Oggi a qualsiasi informatico si drizzerebbero i capelli sentendo parlare di aggiornamento semestrale dell’antivirus o delle vulnerabilità dei software. Gli aggiornamenti degli antivirus avvengono giornalmente se non addirittura ad ore di distanza. Il patching dei software va fatto appena esce l’aggiornamento, non certo dopo un anno. Lo stesso vale per i back-up settimanali, che esporrebbero le imprese al rischio di perdere il lavoro di un’intera settimana.
Le misure minime di sicurezza, oltre a diventare presto obsolete, assoggettavano agli stessi obblighi ciascuna impresa e ciascun trattamento di dati, indipendentemente dal rischio concreto.
Con il GDPR, le misure minime vengono abolite ed il legislatore adotta un approccio completamente diverso. La responsabilità sulla scelta delle misure da adottare viene ribaltata sull’imprenditore.
In parole povere, è come se la Commissione europea dicesse: caro imprenditore, io non sono in grado di dirti quali sono le misure di sicurezza giuste per te. Sei tu a dover fare un’analisi dei rischi privacy della tua attività e, in base al risultato, adottare le misure di sicurezza che ritieni adeguate per ridurre al minimo questi rischi.
Questo è il primo dei due punti chiave del concetto di accountability e può sintetizzarsi con il termine responsabilizzazione. Ma non è finita quì.
La capacità di spiegazione e dimostrazione
La responsabilizzazione dell’imprenditore è solo il primo step del principio di accountability. Se ci fermassimo quì, l’imprenditore italiano, che non ha familiarità con questo approccio, potrebbe essere tentato di ragionare così: “se sono io a decidere cosa è adeguato per la mia azienda, allora significa che posso fare come mi pare e che nessuno mi può sanzionare per le scelte fatte“.
Così sarebbe fin troppo facile sottrarsi agli adempimenti. L’accountability aggiunge alla responsabilizzazione anche la capacità di dimostrazione. In caso di controlli, l’imprenditore non potrà limitarsi a dire “ho adottato solo queste misure perché le ritengo adeguate“. Piuttosto, dovrà essere in grado di dimostrare la fondatezza delle sue scelte e documentarle.
In particolare, ciascun imprenditore dovrà dimostrare di aver individuato i trattamenti di dati personali effettuati ed aver svolto un’analisi dei rischi privacy. Infine, dovrà spiegare in modo convincente le ragioni per cui ha ritenuto di adottare determinate misure di sicurezza e non altre come risposta adeguata al rischio.
Per assurdo, un imprenditore potrebbe anche decidere di non fare niente per adeguarsi al GDPR, purché riesca a dimostrare la fondatezza della propria scelta. Ciò è praticamente impossibile, poiché ciascuna impresa tratta dati personali che comportano anche soltanto un minimo rischio privacy.
Il vero significato di accountability
Il significato di accountability può quindi sintetizzarsi con la somma di due concetti: responsabilizzazione e capacità di dimostrazione.
Si tratta di un principio non semplice da assimilare per chi, come noi italiani, si trova in un ordinamento giuridico di Civil Law. L’applicazione concreta del principio di accountability potrebbe infatti creare problemi di certezza del diritto, rendendo sfumato e sottoposto a valutazioni discrezionali il confine fra ciò che è GDPR compliant e ciò che non lo è.
Indipendentemente dai dubbi di compatibilità del principio di accountability con il nostro ordinamento giuridico, personalmente ritengo che questo sia un approccio corretto per riportare la privacy sul piano reale. L’adeguamento al GDPR non può infatti limitarsi alla compilazione di inutili documenti ma deve portare dei vantaggi concreti in termini di sicurezza delle aziende, non solo per i dati personali ma per tutte le informazioni.
L’approccio formale basato su misure minime di sicurezza e check list di adempimenti obbligatori per tutti non è infatti adeguato a rispondere alla velocità con cui si evolvono i rischi informatici e soprattutto alle capillari differenze dei vari rischi privacy.
L’accountability nella pratica
Una volta compreso il principio di accountability, cosa occorre fare in pratica per dargli attuazione?
Il primo passo è quello di mappare i trattamenti di dati che l’impresa effettua e redigere un registro. Se è vero infatti che il registro dei trattamenti è obbligatorio solo in determinati casi, è comunque consigliabile adottarlo sempre. Ciò in quanto si tratta di un adempimento poco oneroso e che permette di fare chiarezza sui trattamenti effettuati da un’impresa. Il registro è quindi il punto di partenza per poter sviluppare un sistema di gestione della privacy. Inoltre, si tratta anche del punto di partenza in caso di controlli da parte delle autorità competenti.
Per ciascun trattamento individuato nel registro occorre svolgere un’analisi del rischio. Il metodo più comunemente utilizzato è quello proposto da ENISA ma non è obbligatorio seguire uno schema predefinito. Sarà sufficiente ragionare con la testa ed ipotizzare quali possano essere i rischi privacy legati ad un determinato trattamento e quale il loro impatto. Cosa potrebbe succedere se certi dati venissero divulgati? Quale danno potrebbe verificarsi se i dati venissero alterati? E se invece andassero persi o fossero resi indisponibili? Che probabilità esiste che l’evento si verifichi?
Una volta individuati i trattamenti ed attribuito a ciascuno un valore di rischio che tenga in considerazione sia l’impatto che la probabilità che l’evento si verifichi, occorre progettare delle misure di reazione per abbassare tale rischio. É in questa fase che trova applicazione il principio di accountability. L’imprenditore deve decidere il budget da stanziare e adottare delle misure adeguate ad aumentare il livello di sicurezza della propria impresa.
Trasformare la privacy da inutile spreco di risorse ad investimento
Se l’accountability viene applicata correttamente e non soltanto per superare indenni dei controlli ed evitare le sanzioni, la compliance al GDPR non sarà più un inutile adempimento burocratico. Piuttosto, diventerà un modo per prendere coscienza degli enormi rischi, informatici ma non solo, a cui le nostre imprese sono esposte ogni giorno e mitigarli.
L’accountability può fare la differenza fra un inutile spreco di tempo e risorse ed un investimento remunerativo in termini di sicurezza ed efficienza nella gestione dei dati, non soltanto personali.
Quest’opera è distribuita con Licenza Creative Commons Attribuzione 3.0 Italia.