LA FORMAZIONE IN MATERIA DI PRIVACY
13/11/2018
formazione-privacy


Ai sensi dell’art. 29 del GDPR, chiunque agisce sotto l’autorità del Titolare o del Responsabile del trattamento e abbia accesso ai dati personali, non può trattare tali dati se non è istruito in tal senso dal Titolare stesso.

È questo il principale aggancio normativo dal quale si fa discendere l’obbligo di formazione in capo al Titolare del trattamento verso gli Autorizzati al trattamento che eseguono operazioni sui dati personali, a qualsiasi livello di inquadramento aziendale.

Se ne desume, pertanto, che la formazione del personale dipendente è affidata al Titolare del Trattamento, anche quando opera come Responsabile ai sensi dell’art. 28 GDPR, giacché è l’unico soggetto autorizzato ad impartire informative e direttive in merito. Non solo: l’art. 32, par. 4, del Regolamento ribadisce che il trattamento dei dati personali da parte di soggetti terzi deve sottostare alle regole impartite da chi esercita la titolarità su quel dato. Quest’ultimo articolo considera le misure di sicurezza che il Titolare deve sviluppare per garantire un livello di sicurezza adeguato ai rischi del trattamento, lasciando molta libertà circa i mezzi e le modalità con cui raggiungere tale standard di protezione. Tra le varie misure di sicurezza organizzative si colloca proprio la sensibilizzazione del personale mediante corsi di formazione specifici sulla materia.

Com’è noto, il GDPR introduce un innovativo principio con riferimento al Titolare del trattamento, ovvero l’accountability (che letteralmente significa – dover rendere conto del proprio operato). Tale principio impone al Titolare una revisione del proprio sistema privacy, che si sostanza in un concreto impegno nella gestione dei profili di protezione dei dati personali che la propria realtà aziendale o istituzionale tratta. Questa impostazione presuppone una consapevolezza circa la ragione e l’importanza degli adempimenti in materia di protezione dei dati personali, senza limitarsi ad un mero adeguamento burocratico.

Il Regolamento, infatti, richiede uno sforzo aggiuntivo, che si deve concretizzare nell'adozione di comportamenti proattivi volti a realizzare e dimostrare la concreta (e non meramente formale) predisposizione di meccanismi aziendali di sensibilizzazione, valutazione, controllo e tutela, da applicarsi ai trattamenti esistenti ed a eventuali trattamenti futuri. Non è più sufficiente, quindi, un approccio formalistico, volto ad esempio ad ottenere il consenso quale base giuridica idonea a ricomprendere qualsiasi trattamento, ma viene sancita la responsabilità del Titolare di tutelare l'Interessato e l'intera società dai rischi impliciti nel trattamento, usando la diligenza del buon padre di famiglia. In sostanza, il Titolare è destinatario di un vero e proprio obbligo legale di attuare i principi, e di questo deve darne conto (comprovare gli adempimenti), ai sensi dell’art. 5 par. 2 GDPR.

Pertanto, in base a quanto detto, il Titolare del trattamento ha il potere decisionale per quanto riguarda le finalità e le modalità del trattamento dei dati, gli strumenti e le misure di sicurezza da adottare, ed è responsabile per l'adeguamento alla normativa in materia di protezione dei dati personali: spetta al Titolare curare programmi di formazione specifici in materia di privacy per il personale autorizzato al trattamento dei dati, essendo una delle espressioni del principio di accountability.

Che tipo di formazione richiede la normativa?

La formazione dovrebbe essere finalizzata ad illustrare i rischi generali e specifici dei trattamenti di dati, le misure organizzative, tecniche ed informatiche da adottare, nonché le responsabilità e le relative sanzioni. Si tratta di un incontro volto prima di tutto ad informare: la nuova normativa non è di facile comprensione per i non addetti ai lavori, e pone questioni interpretative spesso irrisolte.

Certamente, la lezione frontale in materia di GDPR è utile, ma risulta fondamentale fare un passo in più e adottare ulteriori misure per garantire che gli impatti del GDPR siano anzitutto rilevati dal personale e vengano presi seriamente in considerazione ogni volta che si trattano dati personali: solo così si raggiunge l’obiettivo della norma, ovvero quello di formare i soggetti che trattano dati. Ad esempio, sarebbe auspicabile organizzare dei workshop mirati su alcuni temi rilevanti per il business del Titolare o Responsabile del trattamento, adattando quindi l’impostazione del corso alla realtà aziendale (ad esempio le strutture alberghiere mediante un corso specifico relativo alle problematiche di tutela del dato della clientela, o ancora gli studi professionali di consulenza del lavoro dovranno affrontare un discorso incentrato sul dato – anche sensibile – del dipendente). Infatti, la chiave corretta per interpretare il concetto di accountability sta proprio nell'attuazione di misure adeguate alla propria realtà aziendale, per garantire il rispetto effettivo del GDPR mediante azioni veramente utili ed efficaci per l’impresa.

In questo senso, la formazione costituisce una misura di sicurezza per le organizzazioni, un onere a carico del titolare, un diritto e un dovere per i dipendenti e i collaboratori, che dev’essere oggetto di una precisa pianificazione documentata.

Chi deve partecipare alla formazione?

I principali soggetti che hanno l’obbligo di partecipare ai corsi di formazione sono gli Autorizzati, ovvero coloro che, all’interno della realtà aziendale, trattano dati sotto l’Autorità del Titolare. Questa figura ha un ruolo chiave per la protezione dei dati, perché spesso il maggiore trattamento di dati viene eseguito proprio da tali soggetti (si pensi, ad esempio, al segretario o all’impiegato). È importante considerare che la formazione dovrebbe essere differenziata in base all’ area di attività all'interno della medesima azienda o ente (la formazione del personale addetto alle attività di marketing differisce rispetto a quella per chi lavora nel dipartimento delle risorse umane), nonché in base al ruolo ricoperto (mero autorizzato o anche referente ai fini privacy).

È chiaro che anche il Titolare che decide di adeguare la propria realtà aziendale deve essere guidato nell’implementazione del proprio sistema di data protection. Per questo motivo, è opportuno che il Titolare frequenti un corso ad hoc, concentrato più sugli specifici oneri che il Regolamento impone a tale figura direttiva (come la tenuta del registro dei trattamenti, o la scelta di soggetti terzi come Responsabili del trattamento).


In che modo va attuato l’impegno formativo?

La norma non indica le tempistiche entro cui va attuata o rinnovata la formazione. È probabile che, non appena la situazione si stabilizzerà, il Garante per la protezione dei dati personali e/o il legislatore italiano, emetteranno delle direttive in merito. Per ora si consideri che la formazione è un adempimento da eseguire al più presto, mediante la partecipazione a corsi mirati, come sopra indicato. Sarà poi onere del Titolare individuare un momento futuro in cui far aggiornare il proprio personale dipendente, magari in ragione di novità normative, oppure in virtù di una riorganizzazione aziendale che comporta nuovi trattamenti di dati personali.

Si suggerisce, poi, di predisporre un documento che renda conto delle pratiche e degli appuntamenti di formazione previsti per gli Autorizzati al trattamento, nonché di sviluppare policy aziendali che definiscano precise istruzioni operative per le attività di trattamento a cui gli stessi vengono preposti.

A tal proposito, si evidenzia che l’approccio di QSA S.r.l. all’adeguamento alla nuova normativa è estremamente pratico e mira all’adeguamento normativo cercando il più possibile un'integrazione con i processi e le procedure aziendali già esistenti, con l’obiettivo di una loro eventuale semplificazione. Al tal fine, si potrà scegliere un corso specifico tra quelli implementati, che prevedono un primo momento teorico di informazione circa le novità legislative, per poi calarsi nel concreto, con esempi pratici e un’interazione con i partecipanti, rispondendo ad eventuali perplessità.

Pertanto, verrà garantito un equilibrio fra:

  • Lezioni frontali;
  • Esercitazioni teoriche;
  • Esercitazioni pratiche, nonché lavori di gruppo.

 

A gennaio 2019 verranno attivati i corsi di formazione per Autorizzati al trattamento, della durata di 2 ore, a Trento e Ziano di Fiemme.

Per maggiori informazioni, o per la richiesta di un preventivo calibrato sulle specifiche necessità aziendali, mandaci un’e-mail a info@qsa.it.