Tra gli obblighi introdotti dal Regolamento Europeo 679/2016, anche noto come General Data Protection Regulation (GDPR), recante disposizioni in materia di trattamento di dati personali, particolare importanza riveste quello di formazione del personale dipendente che nell’espletamento della propria attività lavorativa gestisce informazioni riguardanti le persone fisiche.

Si tratta di una novità importante tenuto conto che in passato il dovere del titolare del trattamento di istruire i dipendenti in materia di privacy era stato ritenuto eccessivamente oneroso.

A tal proposito, si ricorda che il “disciplinare tecnico in materia di misure minime di sicurezza” (allegato B al D. Lgs. 196/2003 “Codice della Privacy”) aveva previsto, in un primo momento, la necessità di: “interventi formativi degli incaricati del trattamento, per renderli edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal titolare”.

Tale disposizione era stata tuttavia abrogata con il D. L. 5/2012, convertito, con modificazioni, dalla L. 35/2012.

Il Regolamento Europeo 679/2016 compie una scelta completamente diversa.

Infatti, l’art. 39.1.b del GDPR prevede tra i compiti del Data Protection Officer (DPO) quello di “sorvegliare l’osservanza (…) delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi (…) la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo”, ed inoltre, l’art. 32.4 del Regolamento dispone che “chiunque abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento”.

Alla luce di ciò, appare chiaro che i destinatari dell’attività di formazione sono, in particolare, gli “autorizzati”, ossia coloro che compiono le diverse operazioni di trattamento dei dati personali[1].

In tal senso, dunque, il titolare dovrà: i) stabilire diversi livelli di accesso ai dati personali da parte del personale dipendente a seconda delle mansioni svolte; ii) organizzare e garantire che gli autorizzati, in ragione delle attività di trattamento di dati personali compiute, siano adeguatamente formati e istruiti in materia di protezione dei dati personali. In tal modo, si potrà assicurare tanto la correttezza del trattamento quanto la sicurezza dei dati gestiti da parte dell’azienda.

Il rispetto di tale obbligo è coerente anche con il principio di “accountability” o di responsabilizzazione, che impone al titolare di agire proattivamente al fine di scongiurare eventuali violazioni del Regolamento Europeo 679/216 nonché della disciplina nazionale in materia di privacy.

In definitiva, il titolare, attraverso l’attività formativa, è chiamato a perseguire gli obiettivi di: i) sensibilizzare i propri dipendenti riguardo l’importanza di una corretta gestione dei dati personali; ii) indicare e illustrare, in tal sede, le diverse strategie e le concrete misure tecnico-organizzative adottate dall’azienda in tale campo.

In merito alla progettazione e alla realizzazione dell’attività di formazione occorre rilevare che il GDPR si limita a prescrivere tale obbligo senza specificare nulla in merito. Pertanto, è il titolare, congiuntamente al DPO – ove nominato –, a dover individuare e stabilire le concrete procedure da seguire al fine di soddisfare tale obbligo.

Pur dovendo essere differenziata a seconda delle concrete realtà aziendali, una corretta formazione per essere efficace dovrebbe avere un taglio interdisciplinare e articolarsi:

– in un primo approccio finalizzato ad illustrare i principi generali sottesi alla disciplina relativa alla protezione dei dati personali;

– nell’indicazione delle soluzioni organizzative, tecniche e informatiche adottate da parte dell’azienda;

– in una prospettazione delle diverse responsabilità e sanzioni previste dalla normativa di riferimento.

Dunque, gli investimenti sostenuti da parte delle aziende per rendere la propria organizzazione compliance al GDPR dovrebbero essere impiegati in parte per l’adeguamento documentale, tecnico-informatico e dei processi aziendali e in parte per la corretta formazione del personale dipendente.

L’importanza di tale ultima attività è di immediata percezione specie in considerazione del fatto che una delle principali cause di violazione della normativa di riferimento (cd. data breach) è rappresentata dalle disattenzioni di coloro che sono preposti alle attività materiali di trattamento piuttosto che da attacchi informatici, a differenza di quanto comunemente si è portati a credere.

In conclusione, l’attività di formazione, oltre ad essere obbligatoria in base alla normativa in materia di protezione dei dati personali, risponde, altresì, all’interesse del titolare di avvalersi di personale competente e adeguatamente sensibilizzato circa le responsabilità connesse all’attività di gestione dei dati personali.

DOTT. SIMONE BRIGNOLO

[1] Com’è noto, il Regolamento Europeo 679/2016 non ne disciplina espressamente la figura (a differenza del Codice Privacy). Tuttavia, la possibilità da parte del titolare di ricorrere a tale figura è pacificamente ammessa anche in presenza dell’espresso riferimento contenuto all’interno dell’art. 4, n. 10, del GDPR.

Recent Posts