Capita sempre più frequentemente, svolgendo attività di consulenza in azienda, di ritrovarsi ad interagire con la funzione amministrativa in senso stretto, deputata a prendere “in carico” la gestione della privacy per l’azienda nella sua “interezza”.
Ma l’azienda deve necessariamente coinvolgere tutte le risorse umane che si occupano di privacy, se il risultato atteso è quello di applicare correttamente le procedure e di essere “adeguati” alla normativa europea in materia.
Infatti, come recita l’art. 29 del Regolamento Europeo in materia di protezione delle persone fisiche con riguardo al trattamento dei dati personali e alla libera circolazione di tali dati, “il responsabile del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del titolare del trattamento, che abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri.”
Il fondamento della nuova architettura europea di protezione di dati personali obbliga espressamente il Titolare del trattamento ad adottare politiche interne e ad attuare misure tali da soddisfare il principio della protezione dei dati, tra le quali si colloca, esplicitamente, l’istruzione di “chiunque abbia accesso ai dati personali”.
Il responsabile del trattamento, in quanto situato all’esterno della compagine organizzativa dell’azienda, è il primo destinatario delle istruzioni del titolare ed è per questo che tali istruzioni vengono riportate in un accodo scritto che si traduce nell’atto di nomina da parte del titolare e nell’accettazione del ruolo da parte del responsabile.
Molti ritengono che questo atto di nomina sia sufficiente ad assolvere al dovere di “istruzione” contenuto nell’articolo 29 del G.D.P.R.
Ma non è così.
Dal tenore letterale dell’art 29, infatti, non solo la formazione risulta essere un vero e proprio obbligo (che consente il rispetto del principio di accountability -responsabilità-, fondante del Regolamento in oggetto), e costituisce la precondizione imprescindibile per consentire l’accesso ai dati personali a tutti coloro che possono effettuarvi le relative attività di trattamento. Chi, dunque, se non i dipendenti stessi dell’azienda incaricati al trattamento?!
Una lettura superficiale dell’articolo 29 può ingannevolmente convincere che, in assenza di specifiche indicazioni in materia di formazione, non sussista l’obbligo di una formazione in senso stretto all’interno dell’azienda.
La stessa normativa europea non specifica modalità, contenuti e tempi di svolgimento o aggiornamento della suddetta attività; ma questo non significa necessariamente che non si debba svolgere la formazione, ma “soltanto” (in senso ironico n.d.a.!) che, essa deve essere strutturata e sviluppata principalmente in base all’ambito operativo dell’azienda, alla sua composizione, ai trattamenti effettuati e alle misure di sicurezza adottate, risultando così un abito sartoriale, taylor made, per quella realtà specifica così come “su misura” deve essere tutta l’attività.
La formazione, quindi, sarà tanto più efficace quanto pensata e preparata per il personale a cui ci si rivolge e tanto più vantaggiosa quanto più capace di “coinvolgere” i soggetti ai quali è indirizzata. Una formazione ben fatta produrrà senz’altro una più attenta (e consapevole) applicazione delle procedure trasmesse, perché tanto maggiore è la consapevolezza di ciò che si sta facendo e del perché lo si fa, tanto più grande sarà l’attenzione alla corretta applicazione delle istruzioni non più impartite ma condivise (“partecipare insieme, offrire il proprio ad altri“, come risulta dal significato del verbo).
Quindi, se è pacifico il carattere obbligatorio dell’attività di formazione in ambito privacy, alla luce della mancanza di dettagliate indicazioni a riguardo, risulta più che mai opportuno mettere al centro la concreta applicazione del principio sopra richiamato di accountability.
Sarà il formatore, di concerto con il titolare o il responsabile del trattamento, che nel definire la corretta struttura dell’attività formativa e riuscendo a “catturare” l’attenzione di tutte le risorse umane coinvolte, a garantire una formazione efficace, ricompresa a pieno titolo tra le misure organizzative di sicurezza a cui rimanda espressamente l’art. 24 del GDPR.
Le sanzioni, in caso di violazione dell’obbligo formativo sono molto pesanti (senza tener conto del rischio di danno reputazionale in caso di violazione di sicurezza!)
Prevenire è meglio che curare. Sempre.
PrivacyModena.eu 