Audit e Regolamento Privacy UE: solo un problema di traduzione?
Per la norma italiana UNI EN ISO 19011:2012 (Linee guida per gli audit dei sistemi di gestione) l’audit è:
- il processo sistematico, indipendente e documentato per ottenere evidenze dell’audit e valutarle con obiettività, al fine di stabilire in quale misura i criteri dell’audit sono stati soddisfatti.
La definizione di audit è, quindi, diversa da “collaudo“, “prova“, “controllo” e “verifica” in genere. Perché una valutazione sia un audit, occorre che siano rispettate scrupolosamente una serie di regole, per cui l’auditing è un processo vero e proprio.
Il termine audit è ormai entrato nel dizionario italiano ad indicare un concetto ben distinto e più ampio rispetto a quello di ispezione, vocabolo spesso abusato e utilizzato scorrettamente quale suo sinonimo.
Tutto ciò premesso, si ricorda che tra la versione italiana e quella inglese (che si considera la “madre” di tutte le altre) del Regolamento esistono molte divergenze [1], alcune delle quali hanno un impatto notevole sulla disciplina normativa.
In questo caso la scelta di confrontarci con la versione inglese del GDPR è interessante, perchè è bene ricordare che il concetto di «audit» e quello di «privacy» hanno entrambe origine nella cultura anglosassone.
Articolo | Versione inglese | Versione italiana |
Art. 28 Responsabiledel trattamento |
contribute to audits, including inspections | contribuisca alle attività di revisione, comprese le ispezioni |
Art. 39 Compiti del Responsabile della protezione dei dati |
the training of staff involved in processing operations, and the related audits | la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo |
Art. 47 Norme vincolati di impresa |
Such mechanisms shall include data protection audits and methods for ensuring corrective actions | Tali meccanismi comprendono verifiche sulla protezione dei dati e metodi per assicurare provvedimenti correttivi |
Art. 58 Poteri | to carry out investigations in the form of data protection audits | Condurre indagini sotto forma di attività di revisione sulla protezione dei dati |
Nella versione inglese del Regolamento il termine audit è citato in 4 articoli (28, 39, 47 e 58). Nella versione italiana del Regolamento il termine “audit” non compare mai.
Confrontando le traduzioni si può verificare che il termine “audit” è stato tradotto con tre diversi termini: “revisione”, “controllo” e “verifica”.
Cosa comporta questa discrasia? La Corte di Giustizia ricorda che Regolamenti, direttive e decisioni si considerano “coredatti” in tutte le lingue ufficiali dell’Unione Europea: nessuna prevale sulle altre ed hanno tutte lo stesso valore giuridico. Non appare lecito, in teoria, parlare di una lingua originale di partenza e di altre tradotte, poiché non esiste un processo di traduzione all’interno della procedura legislativa.
Ma in questo caso come si deve comportare l’interprete? Al netto della fictio della procedura di coredazione, è evidente che siamo in presenza di una traduzione errata, aggravata dal fatto che nella lingua italiana il termine “audit” esiste e ha un suo preciso significato.
Il Regolamento Europeo, e lo confermano anche il testo della versione francese (audits) e spagnola (auditorías), richiede attività ben più complesse e strutturate di semplici “ispezioni” e “controlli”: è bene che le imprese italiane ne prendano atto e si strutturino di conseguenza.
[1] Si veda la “Tabella delle divergenze tra la versione italiana e la versione inglese del Regolamento”, ne “Il Regolamento Privacy Europeo. Commentario alla nuova disciplina sulla protezione dei dati personali” di Bolognini, Pelino, Bistolfi, Giuffrè Editore, pag 741.