l'intervista

GDPR. Nicola Fabiano (Presidente Autorità Garante Privacy di San Marino): “Comprendere il senso del termine accountability”

di |

Intervista a Nicola Fabiano, Presidente del Collegio dell’Autorità Garante per la protezione dei dati personali della Repubblica di San Marino, che ci aiuta a comprendere cosa debba intendersi per 'responsabilizzazione' (‘accountability’) alla luce dei termini utilizzati nella versione inglese del GDPR (si tratta di parte di un lavoro in corso di pubblicazione).

L’accountability è il principio cardine del Regolamento europeo per la protezione dei dati personali (GDPR). È un termine che nel testo in italiano è tradotto con responsabilità o responsabilizzazione. Nella versione in inglese, invece, sono utilizzati anche responsibility e liability.

Cosa fare per comprendere il significato dei tre termini originari della versione in inglese, perché è questo il testo da tenere in considerazione per poterne trovare una applicazione concreta del Regolamento Ue nel resto del mondo?

Lo abbiamo chiesto a Nicola Fabiano, esperto di protezione di dati, contributore dei più importanti eventi internazionali sul tema e, cosa ben più rilevante, da qualche settimana Presidente del Collegio dell’Autorità Garante Privacy dello Stato di San Marino.

Key4biz. Presidente Fabiano, il GDPR è un Regolamento Ue con 24 versioni tradotte, è vero che vi sono ancora problemi per le traduzioni?

Nicola Fabiano. In un certo senso sì e chiarisco.Secondo il “Trattato sul funzionamento dell’Unione europea” (TFUE) ed il “Trattato sull’Unione europea” (TUE), le lingue ufficiali europee sono quelle menzionate nei trattati e quindi tutte quelle degli Stati membri dell’Unione. Purtroppo, a causa della localizzazione della lingua, in alcune versioni del GDPR leggiamo termini diversi, in ragione delle differenti traduzioni. Nel testo inglese del GDPR, infatti, si trovano rispettivamente termini come: ’Accountability’, ’Responsibility’ e ’Liability’.

Key4biz. E come sono stati tradotti i tre termini nella versione italiana del Regolamento?

Nicola Fabiano. Sono stati resi con un unico vocabolo. Nella versione italiana del GDPR leggiamo solo il termine “responsabilità” o “responsabilizzazione” con riferimento all’accountability indicata all’Art. 5, ma ancor prima menzionata dal Considerando 85. In effetti, i tre differenti termini che ho appena indicato sono tipici dei sistemi di common law e ognuno di essi ha significato diverso dall’altro. È piuttosto difficile tradurre in altre lingue, diverse dall’inglese, le parole elencate ciascuna con le sue specifiche connotazioni giuridiche, ove nei sistemi romanistici di diritto civile l’unica parola usata è “responsabilità“.

Key4biz. Allora come intendere i tre termini inglesi di “accountability”, “responsibility” e “liability”?

Nicola Fabiano. Il significato dei termini di cui sopra potrebbe dipendere dal contesto, dalla legislazione, dalla giurisdizione e anche dall’area geografica.

Da un lato, l’applicazione del GDPR in Europa ed in particolari nei sistemi di civil law trova dei limiti nella difficoltà di riferibilità della “responsabilità” ai termini specifici contenuti nella versione inglese; dall’altro, la possibile espansività mondiale dell’ambito di applicazione del GDPR (secondo la portata territoriale prevista dall’art. 3, alle condizioni di cui al par. 2) impone che – al fine di meglio comprendere il significato da attribuire a “accountability”, “responsibility” e “liability” – occorre fare necessariamente riferimento anche alla versione inglese del Regolamento (UE) 2016/679. Questo approccio potrebbe anche essere il primo passo per approfondire l’ontologia del GDPR.

Key4biz. E allora iniziamo con il primo che è anche il più rilevante. Qual è il significato da attribuire al termine “accountability”?

Nicola Fabiano. Il GDPR usa tale termine nel Capo II relativo ai principi, con riferimento al titolare del trattamento ed in particolare al principio stabilito dall’articolo 5, paragrafo 2, dove leggiamo: “Il titolare del trattamento è competente per il rispetto del paragrafo 1 e in grado di comprovarlo («responsabilizzazione»)“. Come dicevo, lo stesso termine “accountability” viene menzionato anche nel considerando 85. Il tema è, in sostanza, complesso.

Key4biz. Ci aiuti lei a capire meglio…

Nicola Fabiano. Nei sistemi di common law il termine “accountability” è strettamente correlato a quello di “responsibility e il distinguo è una sottile linea di demarcazione. In quest’ultimo caso, la caratteristica della “responsibility” è l’autonomia, e cioè una persona – nella sua funzione – può agire senza pressioni o interferenze esterne e quindi essere libera di prendere decisioni motivate associate al proprio ruolo pur essendo tenuto a doveri o obblighi. Un soggetto “responsible” può fare scelte secondo le proprie intenzioni e non è sotto il controllo di altri, è libero di decidere anche in relazioni a scelte morali o sociali. Ed è proprio il collegamento tra ruolo o funzione e gli effetti delle azioni o omissioni del soggetto che connotano la “responsibility”, alla quale può essere anche attribuita una connotazione etica in funzione delle decisioni che liberamente può assumere un “responsible actor”.

Key4biz. Invece un soggetto “accountable” cosa è tenuto a rispettare?

Nicola Fabiano. Un soggetto “accountable” è tenuto al rispetto di condizioni esterne per le quali non ha un potere di autodeterminazione ed è privo della autonomia propria del soggetto “responsible” ma risponde delle conseguenze del proprio operato. In sostanza, un soggetto “accountable” è obbligato a tenere un comportamento vincolato da fonti esterne a sé stesso, che sono fuori dal proprio controllo e dal potere di autodeterminazione. Un soggetto “accountable” è anche “responsible”. Il titolare del trattamento, quindi, è “accountable” e cioè condizionato da fattori esterni a sé stesso (il regolamento da rispettare), sebbene sia in grado di autodeterminarsi e abbia autonomia di azione. Allo stesso modo, il titolare è anche “responsible” in quanto è libero di valutare le azioni da compiere per essere conforme alle norme del GDPR.

Key4biz. E la versione in inglese del GDPR quali termini utilizza e perché?

Nicola Fabiano. Il paragrafo 2 dell’art. 5, nella versione inglese, utilizza termini diversi rispetto alla traduzione italiana, in quanto recita: “The controller shall be responsible for, and be able to demonstrate compliance with, paragraph 1 (‘accountability’)”. Nel testo inglese si utilizzano due termini diversi ontologicamente e giuridicamente: si afferma che il titolare del trattamento “shall be” da un lato “responsible” e dall’altro “accountable”. Alla luce di quanto si è detto, il titolare del trattamento, se da un lato è “responsible” (per il potere di autodeterminazione per dimostrare il rispetto del regolamento) e libero di agire e di assumere decisioni anche di rilievo morale, e cioè di rispettare o non le norme, dall’altro è “accountable” e cioè vincolato dal principio espresso al paragrafo 2 dell’art. 5 e risponde, ai sensi dell’art. 83 per la violazione di detto principio.

Key4biz. L’accountability e responsible come sono stati tradotti in italiano?

Nicola Fabiano. L’accountability è stata tradotta in italiano con “responsabilizzazione”, mentre il termine “responsible” della prima parte del paragrafo 2 dell’art. 5, è tradotto come “competente”.

Key4biz. Un bel rompicapo per il giurista italiano?

Nicola Fabiano. Il giurista italiano potrebbe restare disorientato e perplesso, dovendo qualificare giuridicamente la “competenza” e la “responsabilizzazione”. In realtà, nel nostro ordinamento il tutto si traduce in una responsabilità per il rispetto del paragrafo 1 dell’art. 5 e nella conseguente prova. L’elemento di rilievo è l’antigiuridicità del comportamento e specificamente un’azione o omissione (è competente per il rispetto del paragrafo 1 e in grado di comprovarlo) collegata al ruolo di un soggetto (il titolare del trattamento). Il titolare del trattamento potrebbe agire (male, e quindi non rispettando i principi di cui al paragrafo 1) oppure non agire (omettendo di rispettare).

Key4biz. Allora il Responsabile del titolare del trattamento come deve agire correttamente?

Nicola Fabiano. Il profilo dell’onere di essere “in grado di comprovarlo” [il rispetto dei principi] trova altri riferimenti nel GDPR e specificamente nell’art. 24, rubricato “Responsabilità del titolare del trattamento” (nella versione italiana) e “Responsibility of the controller” (nel testo inglese), dove il paragrafo 3 stabilisce che “L’adesione ai codici di condotta di cui all’articolo 40 o a un meccanismo di certificazione di cui all’articolo 42 può essere utilizzata come elemento per dimostrare il rispetto degli obblighi del titolare del trattamento”.

La versione inglese del medesimo paragrafo recita “Adherence to approved codes of conduct as referred to in Article 40 or approved certification mechanisms as referred to in Article 42 may be used as an element by which to demonstrate compliance with the obligations of the controller”. In questo caso, il legislatore, nel testo inglese, ha utilizzato il termine “responsibility” proprio per indicare lo status del “responsible actor” che è libero di decidere se utilizzare i meccanismi di certificazione per fornire la prova del rispetto degli obblighi cui è tenuto il titolare del trattamento. Secondo l’impostazione dei sistemi di common law qui non si è di fronte ad una ipotesi di “accountability” per le ragioni su esposte sulla qualificazione dei due diversi ruoli “responsible actor” e “accountable actor”.

Key4biz. Il legislatore europeo ha utilizzato nel testo inglese anche un altro termine quale “liability”, perché?

Nicola Fabiano. Si tratta di un ulteriore aspetto critico. L’Articolo 82 del GDPR è rubricato nella versione italiana “Diritto al risarcimento e responsabilità”, mentre in quella inglese “Right to compensation and liability”. Com’è evidente il legislatore europeo ha utilizzato nel testo inglese altro termine che è “liability” per esprimere il concetto di responsabilità con conseguente sanzione, probabilmente più vicino al nostro istituto della responsabilità civile.

Key4biz. Qual è la sua considerazione finale?

Nicola Fabiano. In conclusione, riguardo ai tre termini “accountability”, “responsibility” e “liability” siamo di fronte ad una distinzione linguistica propria dei sistemi di common law, non del tutto aderente all’istituto della responsabilità civile che conosciamo, basata sulle conseguenze di un comportamento antigiuridico a fronte di un dovere.