Ad un anno dalla piena applicabilità del GDPR, spesso ci si domanda quale sia il reale livello di adeguamento nazionale degli enti, sia in ambito pubblico che privato e il livello di “consapevolezza” e attenzione in materia di protezione dati, raggiunto dai Titolari e Responsabili del trattamento dei dati personali (e ovviamente dipendenti delle varie strutture).
Per comprendere al meglio lo spirito del GDPR, è opportuno richiamare l’attenzione sul principio cardine del Regolamento, ossia quello di accountability (responsabilizzazione): colui che deve adottare e rispettare le regole e principi del GDPR è chiamato a conoscere in primis la realtà in cui opera, gli strumenti di cui è dotato, il personale che ha a disposizione e i contenuti della propria attività. Solo attraverso questa indagine interna, propedeutica per la conoscenza della propria struttura, ci si può realmente rendere conto dello stato in cui si versa dal punto di vista della “privacy”.
Il Titolare del trattamento deve in realtà poter dimostrare non solo di essersi attenuto alle regole del GDPR, ma, soprattutto, di aver posto in essere tutta una serie di attività (che egli stesso dovrà essere in grado di giustificare) dalle quali sarà facilmente deducibile la sua soglia di attenzione rispetto alla materia.
L’approccio all’accountability non riguarda solo la parte tecnologica o strettamente legata alla sicurezza di un’impresa o di una PA o di uno studio professionale, ma anche e soprattutto l’assegnazione dei ruoli, la loro documentata competenza e – di grande rilievo, ma spesso ignorato – lo sviluppo di piani formativi.
All’interno dell’organizzazione aziendale l’accountability si esprime, quindi, in metodi di lavoro, assegnazioni di compiti e scelte consapevoli e documentate, orientate anche attraverso una maturazione garantita da adeguata formazione sia per coloro che coordinano i trattamenti (che possiamo chiamare “designati al coordinamento”) e sia per coloro che devono eseguire le loro indicazioni (gli autorizzati istruiti a trattare i dati per conto dell’ente in cui operano).
Il GDPR sul tema è piuttosto chiaro: chiunque agisca sotto l’autorità del Responsabile del trattamento o sotto quella del Titolare del trattamento e che abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso dal Titolare stesso (art.29). Del resto, anche il Gruppo di lavoro ex 29 già nel parere n. 3/2010 aveva individuato tra le misure comuni concernenti la responsabilità “un’adeguata formazione e istruzione del personale in materia di protezione dei dati. Il personale in questione dovrebbe includere gli incaricati (o responsabili) del trattamento dei dati personali, ma anche dirigenti e sviluppatori in campo informatico e direttori di unità commerciali”.
È certo che la definizione di un piano formativo in grado di armonizzare le competenze interne delle diverse funzioni coinvolte sia indispensabile per un corretto processo di adeguamento alla normativa in materia di protezione dei dati personali, considerando lo spirito funzionale che anima il GDPR. Non a caso anche l’art. 32 “Sicurezza del trattamento” al paragrafo 4 insiste sul concetto, prevedendo che “il titolare del trattamento ed il responsabile del trattamento fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri”.
La formazione, oltre a costituire un “prerequisito” per potere operare all’interno delle organizzazioni, imprese e pubbliche amministrazioni, dovrebbe essere finalizzata a illustrare i rischi generali e specifici dei trattamenti di dati, le misure organizzative, tecniche e informatiche adottate, nonché le responsabilità e le sanzioni.
La centralità dell’obbligo formativo investe anche la figura del tanto nominato DPO (Data Protection Officer), il quale, oltre a fornire attività di informazione, consulenza e indirizzo nei confronti di Titolare o Responsabile, secondo quanto previsto dall’articolo 39, paragrafo 1, lettera b), è incaricato di sorvegliare l’osservanza del Regolamento (…) e della formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;
Inoltre, oltre a svolgere attività di consulenza e formazione, secondo quanto stabilito dall’articolo 38, paragrafo 2, del GDPR, il DPO deve ricevere dal Titolare del trattamento o dal responsabile del trattamento “le risorse necessarie per assolvere tali compiti e accedere ai dati personali e ai trattamenti e per mantenere la propria conoscenza specialistica”. Ciò si traduce quindi in un obbligo di formazione permanente del DPO.
Questi soggetti, infatti, devono avere la possibilità di curare il proprio aggiornamento con riguardo agli sviluppi nel settore della protezione dati. Tutto ciò mira, in ultima analisi, a consentire un incremento continuo del livello di competenze proprio dei DPO, i quali dovrebbero essere incoraggiati a partecipare a corsi di formazione su materie attinenti alla protezione dei dati e ad altre occasioni di professionalizzazione (forum in materia di privacy, workshop, ecc.).
Il rispetto dei vari obblighi di formazione già menzionati, può essere oggetto di controlli da parte dell’Autorità Garante (e dai Nuclei operativi di controllo privacy della Guardia di Finanza).
In caso di mancato adempimento formativo, infatti, si può incorrere in sanzioni amministrative pecuniarie fino a 10 milioni di euro o, per le imprese, fino a 2 % del fatturato mondiale annuo dell’anno precedente, ai sensi dell’art. 83, par. 4 del Regolamento.
L’obbligo di formazione del personale non deve essere inteso ovviamente come un mero adempimento formale, motivato dal solo timore di incorrere in sanzioni. Un’appropriata formazione multidisciplinare deve essere considerata un’opportunità per l’organizzazione e consente agli “addetti ai lavori” di comprendere i potenziali rischi correlati al trattamento di dati personali e di agire nel pieno rispetto delle regole in materia.
[Articolo edito su Rivista Euroconference Legal]