L’accountability costituisce uno dei concetti più complessi nel panorama giuridico-tecnologico contemporaneo, rappresentando il punto di convergenza tra teoria della responsabilità, filosofia del diritto e governance dei sistemi socio-tecnici.
Indice degli argomenti
Accountability: radici filosofiche e genealogia di un concetto giuridico
La sua genealogia concettuale affonda le radici nella tradizione contabile anglosassone del rendering accounts, evolvendosi progressivamente verso una dimensione che trascende la rendicontazione ex post per abbracciare una logica preventiva e dimostrativa della conformità.
Dal punto di vista filosofico, l’accountability si inserisce nel solco della riflessione kantiana sull’autonomia razionale del soggetto morale. Kant, nella Critica della ragion pratica, distingue tra eteronomia – l’agire secondo norme imposte dall’esterno – e autonomia – l’autodeterminazione secondo leggi razionali che il soggetto stesso riconosce come universalmente valide. L’accountability richiede precisamente questo passaggio, che il titolare del trattamento interiorizzi i principi di protezione dei dati personali, trasformandoli in criteri operativi che guidano l’azione organizzativa, rendendo poi conto pubblicamente di tale processo decisionale.
Foucault, Hood e la tensione tra procedura e virtù nell’accountability
Michel Foucault, nei suoi studi sulla governamentalità, ha evidenziato come le tecniche di governo contemporanee si siano progressivamente spostate dal modello disciplinare verso forme di condotta, secondo cui i soggetti sono chiamati a governarsi secondo razionalità predefinite diventando imprenditori di loro stessi. In tal senso, si può sostenere che l’accountability rappresenti il fatto che il regolatore non prescrive comportamenti specifici, ma richiede ai soggetti regolati di sviluppare le proprie strategie di conformità, documentandone il fondamento attraverso processi di continuous disclosure.
Nella teoria economica della regolazione, Christopher Hood ha elaborato il concetto di regulation inside government, distinguendo tra accountability come mechanism (procedure e strutture) e accountability come virtue (disposizioni morali e competenze). La tensione tra queste due dimensioni attraversa l’intera implementazione del GDPR: infatti, le organizzazioni tendono a privilegiare la dimensione procedurale-meccanicistica, creando artefatti documentali conformi, mentre la dimensione virtuosa – l’ethos della protezione dati come valore condiviso – rimane spesso in secondo piano.
Dal diritto alla pratica: come il GDPR ha ridefinito l’accountability
L’elaborazione europea del principio di accountability ha seguito un percorso incrementale che riflette l’evoluzione del rapporto tra diritto e tecnologia. La Direttiva 95/46/CE conteneva già germi del concetto, particolarmente nell’obbligo di adottare misure tecniche e organizzative adeguate; mancava tuttavia l’esplicitazione del dovere di dimostrare attivamente la conformità. Il titolare, in sintesi, poteva ritenersi conforme astenendosi da condotte vietate, senza dover positivamente provare l’adeguatezza delle proprie misure protettive.
Il GDPR segna invece una discontinuità radicale. L’articolo 5, paragrafo 2, cristallizza l’accountability attraverso una formulazione che merita attenta analisi: “Il titolare del trattamento è competente per il rispetto del paragrafo 1 e in grado di comprovarlo”. Il termine italiano responsabilizzazione costituisce una traduzione semanticamente riduttiva, poiché perde la dimensione dell’account-giving, del rendere conto in modo trasparente e verificabile. In effetti, la responsabilizzazione indica il processo etico-attitudinale, mentre l’accountability include la struttura documentale e l’esponibilità verso l’esterno. La versione francese di responsable e quella tedesca di Verantwortlicher colgono maggiormente questa sfumatura performativa, ossia l’azione dimostrativa, la produzione di evidenze, la capacità di render conto della razionalità delle scelte effettuate. Il Garante e la dottrina hanno ormai accolto il termine inglese come tecnicismo insostituibile, proprio per l’insufficienza di responsabilizzazione.
Il Considerando 74 e l’approccio risk-based nella regolazione adattiva
Il Considerando 74 del GDPR fornisce ulteriori elementi interpretativi, richiedendo che le misure tengano conto dello stato dell’arte, dei costi di attuazione, della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche. Questa formulazione introduce una logica consequenzialista e proporzionalista, posto che l’adeguatezza delle misure non può essere valutata in astratto, bensì deve essere contestualizzata e valutata caso per caso.
L‘approccio risk-based che permea il GDPR riflette l’influenza della teoria della responsive regulation elaborata da Ian Ayres e John Braithwaite. Secondo questa prospettiva, la regolazione efficace deve essere flessibile e adattiva, capace di calibrare l’intensità dell’intervento pubblico sulla base della condotta del soggetto regolato. L’accountability costituisce il prerequisito di questa flessibilità, poiché il titolare ottiene margini di autodeterminazione nella scelta delle misure concrete, ma deve dimostrare continuamente che tali margini sono utilizzati responsabilmente.
Come si dimostra la conformità: mappatura, sicurezza e pianificazione
Il principio di accountability comporta dunque che il Titolare dimostri la sua conformità alla normativa e ciò avviene in concreto attraverso una valutazione del rischio/impatto legata al trattamento, con annessa implementazione di adeguate misure di sicurezza, il che presuppone a sua volta una mappatura del trattamento stesso e una sua pianificazione.
Tali processi si articolano come segue.
Privacy by design e by default: l’accountability nella fase progettuale
Un primo esempio è la privacy by design e by default, disciplinata dall’articolo 25, che costituisce l’espressione più radicale dell’approccio proattivo. Ann Cavoukian, ideatrice del concetto, lo definisce come “embedding privacy into the design specifications of technologies, business practices, and physical infrastructures”. Il GDPR rende giuridica questa intuizione richiedendo che tanto al momento di determinare i mezzi del trattamento quanto all’atto del trattamento stesso vengano implementate misure tecniche ed organizzative adeguate. La dimensione temporale è rilevante, infatti l’obbligo sorge nella fase progettuale, quando le scelte architetturali possono ancora incorporare tutele privacy a costi contenuti, evitando costose retrofitting successive.
Tuttavia, l’applicazione pratica rivela significative difficoltà interpretative: il caso Google Ireland Ltd davanti al Garante irlandese ha evidenziato come determinare quando le misure by design siano effettivamente adeguate in contesti di trattamenti massivi e complessi. Google implementava cifratura, pseudonimizzazione e controlli d’accesso, ma l’autorità contestava l’insufficienza di tali misure rispetto al volume e alla sensibilità dei dati trattati. La controversia ha avuto il merito di sollevare la questione epistemica fondamentale, ossia quali standard probatori deve soddisfare il titolare per dimostrare l’adeguatezza.
La DPIA come strumento di razionalità procedurale
La Data Protection Impact Assessment (DPIA), regolata dall’articolo 35, rappresenta il momento riflessivo-anticipatorio dell’accountability. La DPIA richiede una descrizione sistematica delle operazioni di trattamento previste, una valutazione della necessità e proporzionalità, una valutazione dei rischi per i diritti e le libertà degli interessati, e l’individuazione delle misure per affrontare tali rischi. Questo processo riflette la razionalità procedurale di Herbert Simon; di fronte a complessità e incertezza, l’organizzazione deve seguire procedure decisionali strutturate che aumentino la probabilità di esiti corretti, anche quando l’esito ottimale rimane epistemicamente inaccessibile.
Le linee guida dell’EDPB del 4 ottobre 2017 sulla DPIA (WP 248 rev.01) hanno progressivamente chiarito i contenuti, ma permangono ambiguità applicative. Il caso Orde van Vlaamse Balies davanti alla Corte di Giustizia UE (C 694/20) ha riguardato un sistema di controllo accessi biometrici per avvocati. Il titolare aveva condotto DPIA concludendo per l’adeguatezza del sistema, ma il Garante belga contestava la superficialità della valutazione, affermando che la valutazione doveva essere reale ed effettiva, non meramente formale (seppur lasciando alle autorità nazionali l’onere di determinare quando tale soglia sia raggiunta).
Il registro dei trattamenti e la notifica delle violazioni
Il registro delle attività di trattamento ex articolo 30 GDPR dovrebbe costituire strumento di knowledge management organizzativo, mappando flussi informativi, finalità, categorie di dati, destinatari, termini di conservazione. Nella pratica, molte organizzazioni producono registri compilati per assolvere l’obbligo formale, disconnessi dai processi reali. L’Autorità francese CNIL ha sanzionato nel 2021 un’azienda proprio per un registro largamente incompleto e non aggiornato, evidenziando come l’accountability documentale debba riflettere la realtà operativa.
La notifica delle violazioni di dati personali, disciplinata dagli articoli 33 e 34, introduce un meccanismo di feedback rapido che dovrebbe trasformare gli incidenti in opportunità di apprendimento. Il termine di 72 ore per la notifica all’autorità è tecnicamente assai stringente, richiedendo capacità di detection, assessment e reporting che presuppongono infrastrutture e competenze sofisticate. Il caso British Airways, sanzionato con £ 20 milioni per una violazione che espose dati di 400.000 clienti, ha evidenziato come l’ICO britannica valuti l’accountability proprio attraverso la capacità reattiva; pertanto, la sanzione ha penalizzato non solo la violazione tecnica ma l’insufficienza dei sistemi per prevenire e rispondere all’attacco. Tale approccio è frutto della stessa giurisprudenza della Corte di Giustizia europea ed è stato di recente ribadito in due provvedimenti del 08.01.2026 della CNIL nei confronti di Free e Free Mobile.
Dalla teoria alla pratica: come le aziende hanno interpretato l’accountability
Come hanno interiorizzato e applicato il principio dell’accountability le aziende?
La prima fase applicativa (2018-2019) si è caratterizzata per un’interpretazione prevalentemente formalistica dell’accountability. Le organizzazioni hanno risposto creando artefatti di compliance: nomina massiva di Data Protection Officers spesso privi di reale autonomia e autorità, proliferazione di informative privacy prolisse e incomprensibili, implementazione di cookie banner che rendono l’esperienza utente faticosa senza realmente tutelare l’autodeterminazione informativa. Questo fenomeno, che potremmo definire accountability performativa, consiste nella produzione di segni esteriori di conformità destinati al consumo da parte di autorità e stakeholders, ma scarsamente integrati nei processi decisionali effettivi.
Il decoupling organizzativo: struttura formale e pratiche reali
Il sociologo del diritto Philip Selznick ha studiato come le organizzazioni rispondano alle pressioni istituzionali attraverso il decoupling, separando la struttura formale dalle attività operative. L’implementazione del GDPR ha spesso seguito questa logica, si pensi alla creazione di unità privacy con mansioni advisory prive di potere decisionale, adozione di policies proclamate, ma scarsamente applicate, conduzione di DPIA come esercizio burocratico invece di un momento di riflessione strategica.
La stagione delle sanzioni: TIM, Amazon e Meta
La fase successiva (2020-2022) ha visto le autorità scrutinare con maggiore attenzione la sostanza dietro le apparenze formali. Il Garante italiano ha sanzionato TIM con €27,8 milioni in data 15 gennaio 2020 [9256486] per molteplici violazioni, tra cui la conduzione di DPIA inadeguate rispetto ai trattamenti di profilazione massiva per finalità commerciali. La motivazione evidenzia come la DPIA condotta dall’azienda fosse generica e non sufficientemente dettagliata, incapace di identificare concretamente i rischi e le relative contromisure. L’autorità sottolinea che la circostanza che il titolare abbia formalmente svolto una DPIA non esime dall’obbligo che questa sia condotta in modo appropriato e approfondito.
Il caso Amazon Europe Core (15 luglio 2021), culminato nella sanzione record di €746 milioni da parte del Garante lussemburghese (CNPD) pur riguardando primariamente questioni di consenso e legittimità dei trattamenti, ha evidenziato carenze sistemiche di accountability. Amazon non è stata in grado di dimostrare adeguatamente la conformità dei propri complessi sistemi di targeting comportamentale, rivelando l’insufficienza dei propri processi di documentation e assessment.
L’accountability algoritmica: il nodo irrisolto dell’intelligenza artificiale
L’evoluzione più significativa si registra nella terza fase (2022-2024) con l’emergere della questione dell’accountability algoritmica. I sistemi di intelligenza artificiale, particolarmente quelli basati su machine learning, presentano caratteristiche di opacità e dinamicità che rendono problematica l’applicazione dei tradizionali strumenti di accountability. Il problema vero qui è capire come possa il titolare dimostrare la conformità di un sistema di raccomandazione che apprende continuamente dai dati e modifica autonomamente i propri parametri decisionali.
Il caso Meta Platforms Ireland (gennaio 2023), sanzionato con €390 milioni dal Garante irlandese (DPC), ha riguardato proprio la mancata dimostrazione della base giuridica per trattamenti di profilazione condotti attraverso algoritmi complessi. La decisione sottolinea che il titolare deve essere in grado di dimostrare in modo chiaro e comprensibile la logica, la portata e la finalità del trattamento. Ecco allora che ci si chiede come può essere soddisfatto l’obbligo di accountability quando i sistemi algoritmici divengono troppo complessi per essere completamente compresi anche dai loro creatori.
Frank Pasquale, nel suo The black box society, ha evidenziato come l’opacità algoritmica crei asimmetrie informative radicali tra le organizzazioni e gli individui. Le prime accumulano conoscenze granulari sugli individui attraverso sistemi algoritmici sofisticati, mentre i secondi restano ignari delle logiche decisionali che li riguardano. L’accountability dovrebbe riequilibrare questa asimmetria, ma richiede strumenti concettuali e tecnici che il GDPR ha solo parzialmente delineato.
Radiografia del titolare: PMI, DPO deboli e accountability mercificata
Il GDPR presuppone un titolare dotato di competenze multidisciplinari, risorse adeguate, capacità di tradurre principi astratti in specifiche tecniche concrete. Questo modello implicito riflette idealtipi organizzativi che corrispondono alle grandi corporazioni tecnologiche o alle istituzioni pubbliche strutturate, ma si scontra con la realtà frammentata del tessuto produttivo europeo, in cui predominano PMI e micro-imprese prive delle capabilities necessarie.
La ricerca empirica condotta da Irene Kamara e altri per il Parlamento Europeo nel 2020 ha evidenziato come le piccole organizzazioni interpretino l’accountability prevalentemente come onere burocratico insostenibile invece che come opportunità di miglioramento della governance. E come dar loro torto? Le interviste hanno rivelato ricorso massiccio a templates standardizzati scaricati da internet, registri dei trattamenti compilati in modo approssimativo, assenza di reali processi di risk assessment. La distanza tra il modello del titolare accountable e queste realtà appare abissale.
Un aspetto particolarmente problematico riguarda l’expertise tecnico-legale richiesto. L’accountability presuppone capacità di interpretare norme giuridiche complesse e tradurle in architetture tecniche: competenza in crittografia, protocolli di sicurezza, database management, ma anche conoscenza giuridica di principi di protezione dati, bilanciamento con altri diritti, limiti della legittimità dei trattamenti. Queste competenze sono innanzitutto ibride e di conseguenza rare e costose, collocandosi fuori dalla portata di molte organizzazioni.
Il ricorso a consulenti esterni può colmare parzialmente questo gap, ma introduce ulteriori problematiche. I consulenti infatti tendono a proporre soluzioni standardizzate per efficienza economica, mentre l’accountability richiede precisamente contestualizzazione. Si genera così un’accountability mercificata (si pensi all’acquisto di pacchetti pre-confezionati, templates di DPIA, registri standardizzati, corsi e-learning generici) che forniscono l’illusione della conformità senza una reale trasformazione dei processi organizzativi.
La designazione del Data Protection Officer illustra queste tensioni. L’articolo 37 GDPR prevede l’obbligo di designazione in specifiche circostanze, mentre l’articolo 38 richiede che il DPO sia coinvolto in modo tempestivo e adeguato in tutte le questioni privacy, disponga di risorse sufficienti, riferisca direttamente al management e non riceva istruzioni. Questo profilo richiede autorità organizzativa, accesso diretto agli organi apicali, indipendenza funzionale.
Nella pratica, molti DPO si trovano in posizioni marginali, con budget limitati, incarichi part-time che coprono anche altre funzioni (compliance, IT security, legal), reporting a middle management senza canali diretti verso gli organi decisionali. La ricerca di Dimitra Kamarinou e altri (2021) basata su survey verso DPO europei, ha evidenziato che circa il 40% lamenta un insufficiente supporto del management, il 35% carenza di risorse, il 30% conflitti tra funzione DPO e altre responsabilità aziendali. Quando il DPO è così strutturalmente debole, difficilmente può sorvegliare effettivamente l’accountability organizzativa.
Il problema dello sportello unico e le tensioni regolatorie tra Stati
L’accountability presuppone per il GDPR titolari localizzabili e regolatori con potere coercitivo effettivo. La realtà digitale contemporanea rende questi presupposti problematici. Le grandi piattaforme operano attraverso strutture corporate complesse con entità giuridiche disperse tra multiple giurisdizioni, flussi di dati transfrontalieri e sofisticate strategie di regulatory arbitrage.
Il meccanismo dello sportello unico (one-stop-shop) previsto dal GDPR, per cui l’autorità dello Stato membro dove ha sede il main establishment ha competenza principale, aveva l’intento di semplificare la compliance per operatori multinazionali. Nella pratica, ha concentrato potere regolatorio in poche autorità (principalmente irlandese e lussemburghese) che si trovano a dover scrutinare i più grandi attori tecnologici globali con risorse limitate.
Il Garante irlandese, supervisore per molte big tech (Meta, Google, Apple, Microsoft hanno establishment in Irlanda), è stato ripetutamente criticato per lentezza e presunta leggerezza. Il caso WhatsApp Ireland ha richiesto quattro anni di indagini (2017-2021) culminando in una sanzione di €225 milioni per violazioni di trasparenza. Durante l’istruttoria, l’EDPB è dovuto intervenire con dispute resolution perché altre autorità contestavano l’insufficienza della proposta sanzionatoria irlandese originaria (€50 milioni).
Questi meccanismi evidenziano tensioni strutturali nel modello GDPR di accountability distribuita. La cooperazione tra autorità attraverso il meccanismo di consistency previsto dagli artt. 63-67 GDPR dovrebbe garantire enforcement armonizzato, ma i casi complessi rivelano divergenze interpretative e conflitti di interessi economici tra Stati membri che competono per attrarre investimenti tech.
Le strategie di compliance delle multinazionali riflettono consapevolezza di queste dinamiche. La ricerca di Kenneth Bamberger e Deirdre Mulligan sulle privacy on the ground ha evidenziato come le organizzazioni calibrino investimenti in accountability sul livello di scrutinio atteso dall’autorità di riferimento. E ciò genera disparità, poiché trattamenti sostanzialmente simili ricevono livelli differenziati di protezione a seconda della giurisdizione dell’autorità competente.
Con gli algoritmi è ancora peggio: opacità, interpretabilità e black box
L’accountability algoritmica costituisce il territorio in cui le tensioni del modello GDPR emergono con maggiore evidenza. I sistemi di intelligenza artificiale contemporanei, particolarmente i modelli di deep learning, presentano caratteristiche che confliggono con i presupposti dell’accountability tradizionale.
Il problema dell’interpretabilità è ormai ampiamente riconosciuto nella letteratura di AI ethics. Modelli con miliardi di parametri distribuiti attraverso reti neurali profonde producono output che i loro stessi creatori faticano a spiegare. La richiesta del GDPR di fornire informazioni significative sulla logica utilizzata (art. 13, par. 2, lett. f) diviene problematica quando la logica consiste in correlazioni statistiche emerse da processi di apprendimento opachi.
Alcuni studiosi (ad esempio Lipton) distinguono tra transparency (comprensibilità del modello) e post-hoc interpretability (capacità di spiegare singole decisioni). Il GDPR sembra richiedere entrambe, ma tecnicamente possono essere in tensione: modelli più accurati tendono ad essere meno interpretabili (trade-off accuracy/interpretability). Il titolare si trova così di fronte a scelte tecniche che sono anche scelte etiche: privilegiare la performance o la spiegabilità?
Anche la giurisprudenza ha iniziato a confrontarsi con questi dilemmi. Il caso SCHUFA davanti alla Corte di Giustizia UE (C 634/21) riguardava un sistema di credit scoring. Il ricorrente chiedeva accesso alla logica del calcolo del proprio score. La Corte ha affermato che il diritto di accesso include informazioni sulle “categorie di dati”, “fonti” e “logica automatizzata”, ma ha anche riconosciuto limitazioni per proteggere segreti commerciali, lasciando così ampie zone grigie.
Il problema si acuisce con i foundation models e i sistemi di AI generativa. Un modello come GPT-4, addestrato su centinaia di miliardi di token, produce output che emergono da interazioni complesse tra miliardi di parametri. Quando un’organizzazione utilizza tali modelli per trattamenti automatizzati (screening CV, valutazione creditizia, moderazione contenuti), come può dimostrare accountability rispetto a decisioni generate da sistemi che nemmeno chi li ha creati comprende pienamente?
Sandra Wachter e Brent Mittelstadt hanno proposto il concetto di counterfactual explanations: anziché spiegare perché una decisione è stata presa, occorre indicare cosa sarebbe dovuto cambiare nell’input per ottenere una decisione diversa. Questo approccio potrebbe conciliare opacità algoritmica e accountability pratica, ma richiede sviluppi tecnici e chiarimenti normativi ancora assenti.
Verso un’accountability relazionale, riflessiva e contestuale
L’analisi critica dell’implementazione dell’accountability GDPR suggerisce direzioni per un suo potenziamento teorico e pratico.
L’accountability dovrebbe essere concepita come proprietà relazionale anziché come attributo dell’organizzazione isolata. Bovens definisce accountability come social relationship in which an actor feels an obligation to explain and justify his or her conduct to some significant other. Questa dimensione relazionale implica che l’accountability si costruisce nell’interazione tra titolare, autorità, interessati e società civile. Le attuali strutture di accountability sono prevalentemente verticali (titolare verso autorità), mentre dovrebbero essere ampliate includendo dimensioni orizzontali (accountability verso gli interessati) e reticolari (accountability collettiva in ecosistemi digitali complessi in cui le responsabilità sono distribuite).
Helen Nissenbaum ha elaborato il concetto di contextual integrity come criterio per valutare la legittimità dei flussi informativi. Secondo questo approccio, l’appropriatezza di un trattamento dipende dal contesto sociale in cui avviene e dalle norme informative condivise. L’accountability potrebbe essere riconfigurata richiedendo ai titolari di dimostrare che i propri trattamenti rispettano le aspettative normative contestuali degli interessati. Questo sposterebbe l’attenzione dalla conformità formale alla legittimità sociale percepita.
La teoria della reflexive law, poi, di Gunther Teubner suggerisce che la regolazione efficace di sistemi complessi richiede procedure che stimolino auto-osservazione e auto-correzione. L’accountability dovrebbe, dunque, incorporare meccanismi di feedback strutturati che mostrino le violazioni e gli incidenti non come fallimenti da sanzionare, ma come occasioni di apprendimento organizzativo. Questo richiederebbe un cambio di approccio regolatorio, da punitivo a pedagogico, in cui le autorità assumono ruolo di facilitatori dell’apprendimento collettivo.
Un’intuizione provocatoria proviene dalla teoria della complessità applicata alle organizzazioni. Karl Weick ha studiato come le organizzazioni ad alta affidabilità (high reliability organizations) in contesti ad alto rischio sviluppino mindful organizing: attenzione costante alle anomalie deboli, riluttanza a semplificare interpretazioni, sensibilità alle operazioni, impegno alla resilienza, deferenza all’expertise. L’accountability potrebbe quindi in tal caso esigere la dimostrazione dell’adozione dei principi organizzativi, anziché la produzione di specifici artefatti documentali da parte dei titolari.
Il bilancio del GDPR: progressi reali e rischio di security theater
L’accountability GDPR rappresenta un esperimento normativo di portata storica: il tentativo di rendere governabili attraverso il diritto sistemi socio-tecnici caratterizzati da complessità, opacità e dinamismo. Sei anni dopo l’entrata in vigore, il bilancio appare chiaroscurale.
Innegabili sono i progressi: diffusione di competenze privacy nelle organizzazioni, incremento della sensibilità verso i rischi dei trattamenti, creazione di professioni dedicate (DPO, privacy engineers), sviluppo di un corpus giurisprudenziale interpretativo. L’accountability ha generato un’infrastruttura discorsiva e pratica che ha trasformato il rapporto tra organizzazioni e dati personali (un cambio così profondo me lo ricorda solo la legge 241 del 1990 sul procedimento della PA).
Tuttavia, permane una distanza significativa tra il modello normativo ideale e la realtà implementativa. L’accountability rischia di degenerare in security theater (Bruce Schneier), cioè in rituali di compliance che producono illusione di sicurezza senza sostanziale riduzione dei rischi. La proliferazione di documenti, certificazioni, attestazioni può oscurare l’assenza di reale trasformazione delle pratiche organizzative.
Il problema più profondo riguarda l’epistemologia dell’accountability in contesti algoritmici. Il GDPR presuppone che le organizzazioni possano conoscere, controllare e spiegare i propri sistemi di trattamento. Quando tali sistemi divengono sufficientemente complessi, questa presunzione diviene irrealistica. Emerge allora un’accountability dell’incompletezza: il titolare può dimostrare di aver seguito procedure corrette, di aver implementato best practices, di aver consultato esperti, ma non può garantire piena comprensione e controllo.
La mappa di Borges e il kintsugi dell’accountability: una proposta
Forse l’accountability dovrebbe essere riconosciuta per quello che effettivamente è: un ideale regolativo nel senso kantiano, un orizzonte normativo verso cui semplicemente tendere, pur consapevoli della sua irraggiungibilità completa.
In questa prospettiva, l’accountability autentica consisterebbe nel riconoscere apertamente i propri limiti epistemici e operativi, comunicandoli trasparentemente anziché occultandoli dietro facciate di certezza procedurale.
Il titolare accountable potrebbe essere allora quello capace di dire non sappiamo esattamente come funziona questo sistema, ma questi sono i rischi residui e questo è ciò che stiamo facendo per monitorarli, anziché produrre rassicurazioni formali prive di sostanza.
In questa deriva verso la formalizzazione estrema, l’accountability rischia di cadere nel paradosso descritto da Jorge Luis Borges nel frammento “Del rigore della scienza”. Lo scrittore argentino racconta di un impero in cui l’arte della cartografia raggiunse una tale perfezione da produrre una mappa in scala 1:1 con il territorio stesso. Il risultato fu l’abbandono della mappa (invero, una rappresentazione totale è, per definizione, inutile quanto ingombrante).
Le organizzazioni che oggi tentano di esaurire l’accountability in una documentazione iper-analitica stanno costruendo la propria mappa di Borges, un simulacro burocratico che, nel tentativo di mappare ogni singolo bit e ogni rischio algoritmico, finisce per sovrapporsi alla realtà operativa, soffocandola. L’accountability autentica, paradossalmente, non risiede nella perfezione della mappa (il registro, la DPIA, la policy), ma nella consapevolezza dello scarto che esiste tra il segno grafico e il terreno accidentato della tecnica.
Come nel Kintsugi giapponese, in cui l’oro evidenzia le crepe della ceramica anziché nasconderle, l’accountability del futuro dovrà forse rinunciare alla pretesa di integrità del sistema per farsi estetica della fragilità.
Un sistema è davvero responsabile non quando si dichiara infallibile, ma quando esibisce le proprie linee di frattura algoritmica, rendendole il punto di partenza per una nuova forma di fiducia tra uomo e macchina.
Proprio partendo da questo tipo di approccio ci si ricongiunge all’originario concetto della protezione dei dati personali e quindi dell’accountability secondo una prospettiva risk-based, che appunto mira non già ad eliminare un rischio, ma a ridurlo, in un’ottica di continuo miglioramento e monitoraggio circa l’efficacia delle misure di sicurezza implementate.
Non serve dunque dimostrare una conformità assoluta, ma quella ritenuta idonea a proteggere i dati dal titolare accountable.
