GDPR, accountability, autoregolamentazione e norme di soft law: il punto di vista del Garante

GDPR, accountability, autoregolamentazione e norme di soft law: c’è spazio per le iniziative dal basso? Ne abbiamo parlato a FUTURE OF DATA, l’evento organizzato da MigliorAttivaMente, l’associazione che ho l’onore di presiedere in qualità di Presidente insieme ad Andrea Chiozzi, Vicepresidente nonché CEO di PrivacyLab. 

In questa occasione, ho avuto il piacere - e l’onore - di intervistare Guido Scorza, componente dell'Autorità Garante per la protezione dei dati personali, per parlare di un argomento molto interessante per noi: l'accountability e l'autoregolamentazione. Segue un estratto del nostro scambio.

Pacelli: Vorremmo trattare insieme a te quello che può essere un codice di autoregolamentazione che un’organizzazione, sia pubblica che privata, può darsi per dimostrare di aver fatto tutto quello che è necessario per proteggere i dati, in ottica di accountability. 

Autorità Garante: Grazie per la domanda, perché è una questione che sta molto a cuore anche a noi come autorità. È una delle cifre distintive del GDPR, forse una delle maggiori innovazioni della nuova disciplina europea della materia. Essendo più innovativa rispetto a tante altre indicazioni contenute in quella disciplina, è ancora ampiamente inesplorata, anche tra gli addetti ai lavori.

Pacelli: Spesso mi capita di rispondere a delle organizzazioni che mi chiedono "Ma come facciamo a dimostrare di aver fatto tutto quello che richiede il General Data Protection Regulation?”. E ancora meglio “Come facciamo a ottenere una certificazione?". In questi mesi, infatti, si è parlato di certificazione, ricordiamo che è qualcosa che viene rilasciato da un ente terzo. 

La domanda che invece ti rivolgo è questa: c'è la possibilità di autoregolamentarsi? È possibile promuovere un'iniziativa che sia una sorta di autodisciplina che si dà un'organizzazione, intesa come titolare del trattamento, piuttosto che un Data Protection Officer?

Autorità Garante: Certamente c'è. C'è spazio per tante cose diverse nella cornice del Regolamento Generale e nella cornice del Codice. Direi che, certificazioni a parte, c'è spazio per codici di condotta e per regole deontologiche. 

Sono tutti strumenti che vanno tendenzialmente nella stessa direzione: consentire l'identificazione di una serie di questioni più o meno ricorrenti nell'ambito di una categoria - ovviamente una serie di questioni di protezione dati più o meno ricorrenti -, e cercare di identificare a un livello più basso, rispetto a quello generale e astratto dei principi del GDPR o dello stesso Codice, quando ancora in vita, a tutto vantaggio essenzialmente della chiarezza applicativa per gli operatori. 

Naturalmente non si tratta di strade che innovano quanto ai principi di riferimento, quanto alle norme, quanto agli obblighi o quanto ai diritti, perché tutto questo è sostanzialmente cristallizzato nel GDPR e immodificabile dal basso. 

Ma la funzione è una funzione in qualche modo duplice, cioè di standardizzazione dell'approccio all’applicazione di certi principi, dal punto di vista degli addetti ai lavori, dal punto di vista degli operatori che appartengono ad una categoria, e anche, in qualche modo, pedagogica. Perché il processo che normalmente porta alla creazione di un codice di condotta - ancor di più il processo più strutturato, più normato, più importante, che porta all'approvazione delle regole deontologiche - sono anche occasioni straordinarie di condivisione dei problemi, delle soluzioni, dei punti di bilanciamento relativi all'applicazione della disciplina sulla privacy.

Quindi gli strumenti sono diversi. 

La certificazione è lo strumento più strettamente correlato al tema dell'accountability nella logica del GDPR, nel senso che è lo strumento d'elezione per consentire al titolare del trattamento non di porsi necessariamente in safe side, in modo assoluto, ma sicuramente di poter dimostrare - nel caso ne sorga la necessità - all'autorità per la protezione dei dati che, se si è ottenuta una certificazione, se si sono rispettati i modelli comportamentali propri di quella certificazione (almeno in relazione agli aspetti coperti da quella certificazione), ci si è comportati, si è effettuato il trattamento o i trattamenti di dati personali in conformità al GDPR.   

Autorità Garante: Gli altri strumenti, cioè le regole deontologiche e i codici di condotta, li metterei - ancorché sia probabilmente la dimensione tecnica non correttissima - in una sorta di gradazione, diciamo, dall'alto verso il basso.
 

Quindi lo strumento d'elezione è la certificazione: uno strumento molto più rigido rispetto agli altri, uno strumento calato dall'alto, nel senso che il percorso di certificazione è uno, è standard e nelle mani di un'autorità di certificazione. 

E poi, scendendo, ci sono le regole deontologiche, nell'ambito delle quali il coinvolgimento del Garante è più rilevante, tanto nella fase di promozione della regola deontologica relativa ad una determinata categoria, quanto nella fase di definizione delle regole. 

In fondo, il codice di condotta.  

Dico in fondo ma, nella realtà, ciascuno di questi strumenti ha una sua identità e ha una sua utilità e dal mio punto di vista sono tutti e tre egualmente preziosi. 

Anzi, in una dimensione metagiuridica, capovolgerei persino l’ideale classifica, perché il codice di condotta, essendo lo strumento più dal basso, dei tre è quello che coinvolge in maniera più autonoma gli appartenenti a una determinata categoria. Forse fa meglio di tutti gli altri, in senso pedagogico e anche di responsabilizzazione propria, tentando di tradurre l'accountability. Per poi risalire fino ad arrivare alla certificazione, passando per le regole deontologiche.

Autorità Garante: Credo che, come Autorità di protezione dati, non si possa che promuovere il ricorso più ampio possibile a tutti questi strumenti, che hanno anche un merito, secondo me, extra giuridico, non formale, non istituzionale. Perché creano discussione, dibattito, partecipazione tra gli addetti ai lavori intorno a questioni che, viceversa, in assenza dei percorsi di certificazione, di redazione delle regole, di redazione di un codice, sono relegati alla fase patologica della vita di un'impresa. Di quando si discute di ciò che si sarebbe dovuto fare per evitare la sanzione. 

Ma naturalmente a quel punto è tardi, e come dico spesso, quando si arriva alla sanzione la sconfitta è per tutti, a cominciare dall'autorità che quella sanzione irroga, soprattutto se quell'autorità - come è nel nostro caso - è autorità di protezione di un diritto fondamentale.

Perché significa che la lesione di quel diritto si è consumata e quindi da qualche parte c'è un cittadino che è stato leso nel suo diritto e, a quel punto, arrivare a sanzionare il titolare del trattamento è un percorso obbligato ma, allo stesso tempo, è una magra consolazione.

Perché non è una forma di giustizia riparatoria per davvero. Spesso, la giustizia riparatoria nemmeno esiste: quando i tuoi dati sono stati diffusi e tu ne hai sofferto un pregiudizio, puoi andare davanti a un giudice civile a chiedere un risarcimento del danno, ma molto spesso non ti verrà restituito ciò che hai perso.

Dal mio punto di vista quindi, "ponti d'oro" a tutte le forme di regolamentazione, di soft law, di regolamentazione secondaria, soprattutto se è dal basso, per gli effetti positivi, diretti, che producono in termini di supporto al titolare del trattamento, nel dimostrare di aver fatto il possibile per costruire un trattamento a norma di legge, a norma di regolamento, ma anche per tutto quello che di positivo producono in termini di educazione e di cultura della privacy.   

Pacelli: MigliorAttivaMente ha realizzato due iniziative: il Codice del Data Protection Officer e la Carta della qualità dell'attività di trattamento. Sono vincolanti esclusivamente per chi li adotta – perché lo decide l’organizzazione o il DPO che fa propria questa iniziativa - e hanno l'ambizione di essere poliedriche, quindi, a seconda dell'autorità di controllo di riferimento, si può dare una lettura piuttosto che un'altra. 
Rispetto all’Autorità Garante per la protezione dei dati personali, iniziative di questo genere, come si collocano e come possono essere qualificate? 

Autorità Garante: Sono iniziative certamente apprezzabili, perché vanno nella direzione di cui abbiamo parlato sin qui, nella promozione di una cultura della privacy. Non sono codificate, né nel Regolamento né nel codice, perché sia le regole deontologiche che i codici di condotta sono strumenti verticali per categorie di titolari, ma non per soggetti privacy. Quindi un codice dei DPO, dei responsabili della protezione dei dati, non sta in termini sistemici in nessuna delle caselle del GDPR o del Codice. È un'iniziativa rispetto alla quale l'autorità non può che essere spettatore - soddisfatto che qualcosa si muove sul mercato -, salvo l'apprezzamento di merito sui contenuti. 

Si muove nel merito in una direzione apprezzabile, ma non ha da far suo sigilli, bollini, approvazioni o pareri da rilasciare per benedire questo o quel codice.

Secondo me sono tutte iniziative lodevoli nella direzione della promozione della cultura della privacy che, probabilmente, soprattutto in relazione a titolari del trattamento e responsabili della protezione dei dati medio piccoli, li sollevano di un gran numero di oneri. Nel senso che indicano una strada, senza che debbano fare un grande sforzo o una grande ricerca, ma questo è nella cornice del GDPR e del Codice, e si farebbe fatica a trovare una collocazione diversa.

Sono a lato rispetto agli strumenti tipizzati e cioè le certificazioni, le regole deontologiche e i codici di condotta.    

Pacelli: Riassumendo sono iniziative atipiche, non codificate, ma molto apprezzate dall'autorità di controllo.

Vuoi saperne di più?

Trovi questo intervento e altri approfondimenti su Raise Academy, l'Accademia di Formazione Efficace di PrivacyLab che coinvolge consulenti e professionisti del GDPR, grazie al connubio tra tecnologia, presenza, competenza, contatto, condivisione e diffusione.