L'autore
Nella selva di termini anglosassoni e acronimi che ruotano attorno alla privacy, oggi affrontiamo l’accountability. Qui le cose si complicano, perché il termine non ha una traduzione semplice e lineare, e identifica un concetto molto ampio.
Lo ignoriamo e passiamo oltre? Assolutamente no, perché all’interno del GDPR, l’accountability svolge un ruolo di primo piano.
Partiamo dallo stato della questione. Nell’articolo 24 del GDPR così viene definito il termine:
“Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento. Dette misure sono riesaminate e aggiornate qualora necessario”.
Siamo alla prova del fuoco. Arriva il momento in cui bisogna dimostrare che le misure adottate per la protezione dei dati “funzionano”. In questa fase si situa l’accountability, che spesso viene tradotto, in modo incompleto, con responsabilizzazione o responsabilità. Incompleto perché la “responsabilità” è compresa all’interno del concetto di accountability, ma non lo esaurisce.
Responsabilità, perché, appunto, di fronte ad un problema di gestione dei dati si devono avviare tutte le procedure necessarie atte a risolverlo. Il trattamento, insomma, deve agire bene, e si deve dimostrare di aver fatto tutto il necessario e di averlo fatto bene, progettando, alla base, tutta l’impalcatura nel modo corretto.
Ma, come detto, l’accountability non è solo questo.
Accountability: dalla definizione all’applicazione
Come si faceva ai tempi della scuola, partiamo dal dizionario. L’Oxford Dictionary, definisce accountability: “Il fatto o la condizione di essere accountable”. Perfetto. Quindi cerchiamo accountable, e troviamo due definizioni:
- Required or expected to justify actions or decisions. Responsible.
- Able to be explained or understood.
Tradotte:
- Quando è necessario o previsto giustificare le proprie azioni o decisioni. Responsabile.
- Capace di essere spiegato o capito.
Quindi, la responsabilità c’è, ma non è sola. Si trova insieme ad un altro concetto che in italiano potremmo tradurre con: dare conto di…, giustificare…, saper dimostrare cosa si è fatto e per quale motivo.
Ecco che il concetto di accountability, declinato sul GDPR, comincia a delinearsi meglio, ovvero non solo la responsabilità nell’attuare le misure messe in campo, ma anche nella dimostrazione che queste sono efficaci, funzionali e ben progettate. E soprattutto che questa funzionalità è verificabile.
Ora facciamo un passo indietro. Ricordate quando abbiamo parlato di Privacy by design, ovvero del concetto di iniettare la tutela dei dati direttamente nelle fondamenta dell’azienda, in modo da non renderla un elemento posticcio e accessorio ma integrato nel sistema? Ecco, qui stanno le basi dell’accountability, in un atteggiamento proattivo, ovvero che cerca di prevenire il problema, che ha definito gli obiettivi in anticipo, con attenzione, attraverso un sistema coerente ed efficace.
Il contrario di Accountability
Quando questo meccanismo si inceppa o non è calibrato bene alla base, l’accountability rischia di trasformarsi nel più italico “scaricabarili”. L’iter è quello ben conosciuto: si presenta un problema, il processo attivato non è quello giusto, o non ha funzionato come ci si aspettava, allora la responsabilità viene rimbalzata tra il responsabile del trattamento dei dati, il tecnico informatico, i commerciali, il Ceo e via così fino a che qualcuno rimane senza buoni argomenti.
Tutela dei dati: dall’adeguamento alla responsabilità
L’accountability, insieme alla Privacy by design, ci rammentano che per aver un giusto approccio al trattamento dei dati non è sufficiente adeguare le misure, inserire un banner, un modulo da cliccare o compilare e basta. Giusto per dire: “ho adempiuto agli obblighi di legge e ora riprendo la mia attività”.
Poter dimostrare l’efficacia delle misure, essere proattivi, vuol dire conoscere bene le misure da attuare e saper rendicontare l’atteggiamento tenuto. Ovvio che questo non mette al riparo da errori o sviste, ma, di fronte ad un accertamento, è comunque una condizione di favore nell’aver dimostrato di aver arginato i rischi, tale da poter persino trasformare la sanzione in un semplice ammonimento.
Se “l’accountability funziona” vuol dire che il processo è
- trasparente
- funzionale
- comprensibile.
Rileggendo ora l’articolo 24 del GDPR – quello che introduce il principio dell’accountability – il suo significato ci appare più chiaro.
“Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento. Dette misure sono riesaminate e aggiornate qualora necessario”.
Chi ha la responsabilità del trattamento deve quindi dimostrare con quali modalità ha tutelato i dati e quali sono state le decisioni che lo hanno portato a determinare la scelta. Se la privacy by design è stata ben architettata, ha già tutto sottomano.
Se desideri verificare lo stato di accountability della tua organizzazione, puoi contattarci attraverso il form di contatto.
