Uno dei fattori fondamentali della GDPR compliance per un titolare del trattamento è quello della formazione GDPR in materia di data protection di tutti gli autorizzati al trattamento dei dati.
La centralità di questo adempimento è, in primo luogo, conseguenza automatica del principio di accountability e di sicurezza del trattamento dei dati. A prescindere, cioè, dalle previsioni normative esplicite che vedremo a breve, è del tutto evidente che, al fine di trattare i dati in modo sicuro è fondamentale che il fattore umano sia reso consapevole degli obblighi e dei rischi inerenti ai trattamenti di dati personali.
In mancanza di ciò, qualunque altra misura di sicurezza tecnica od organizzativa ex art. 32 Reg. (UE) 2016/679 risulterebbe drasticamente ridotta nell’efficacia.
Indice degli argomenti
Formazione GDPR: il quadro legislativo
Detto ciò, di formazione il GDPR parla esplicitamente sia nell’articolo 39, relativo ai compiti del DPO, al par. 1, lett. b)[1] che nell’articolo 47, relativo alle “Norme vincolanti d’impresa”, al par. 2, lett. n)[2], tra i contenuti minimi di tali norme vincolanti.
Per di più, vi è chi ritiene che anche altre norme del Regolamento contengano previsioni che si sostanzierebbero nell’obbligo di formazione, ad esempio l’articolo 29 (Trattamento sotto l’autorità del titolare del trattamento o del responsabile del trattamento)[3] ed il già richiamato art. 32, par. 4[4].
Tuttavia, chi scrive non è del tutto persuaso che queste ultime previsioni siano univocamente interpretabili nel senso sopra proposto. La formulazione letterale delle norme, infatti, parrebbe lasciar intendere che la locuzione “istruito in tal senso” debba essere riferita non alla generica “istruzione”, intesa come sinonimo, nel linguaggio colloquiale, di “formazione” ma, piuttosto, alla specifica istruzione (intesa come indicazione autoritativa) da parte del titolare o del responsabile di procedere al trattamento di specifici dati, con specifici mezzi, a specifiche condizioni e per specifiche finalità.
In ogni caso, anche l’ex WP29, con l’Opinion 3/2010, aveva inserito al punto 41 (Le misure: descrizione), tra le misure comuni ritenute essenziali ai fini dell’accountability, proprio la formazione degli autorizzati.
Infine, occorre segnalare che l’obbligo di formazione GDPR è risultato essere storicamente uno degli adempimenti oggetto di numerosi accertamenti disposti dal Garante[5].
La formazione GDPR nelle micro, piccole e medie imprese
Risolto ogni dubbio in merito alla sussistenza dell’obbligo di formare gli autorizzati al trattamento di dati personali, occorre chiedersi come questo si debba applicare alle micro, piccole e medie imprese.
In primo luogo è necessario sottolineare che non vi sono esenzioni, misure semplificative o altre previsioni che sollevino realtà imprenditoriali anche minime dall’obbligo in esame.
Il Garante dovrà provvedere a indicare modalità semplificate di adempimento ad alcuni obblighi contenuti dalla normativa europea in materia di privacy ma ad oggi non vi sono specificazioni dell’Autorità in tal senso ed è lecito non aspettarsene in futuro, proprio in ragione del fatto che la formazione ha una funzione così centrale nella garanzia di un trattamento sicuro dei dati, da non essere ipotizzabile che quale che sia titolare possa farne a meno.
In secondo luogo, ci si deve porre il problema della scelta del formatore. Nulla vieta che sia un soggetto interno all’organizzazione del titolare, qualora abbia le competenze e le qualità adeguate, ma nella maggior parte dei casi, soprattutto in piccole realtà, sarà opportuno rivolgersi a professionisti qualificati, che possano vantare competenze ed esperienza in materia di data protection, ed in particolare una conoscenza trasversale degli elementi sia legali (soprattutto) ma anche, segnatamente, informatici e fisici necessari a coprire, con efficacia e taglio pratico, tutti gli aspetti essenziali della sicurezza nel trattamento dei dati.
Ciò vale sia qualora ad occuparsene sia il DPO (che dovrà essere scelto fra soggetti aventi le caratteristiche richiamate), laddove nominato in ragione di obbligo od opportunità, sia qualora se ne occupi un consulente esterno a cui sia affidata la GDPR compliance aziendale.
Linee guida per progettare la formazione GDPR
Su chiunque cada la scelta del titolare, comunque, è essenziale che la formazione GDPR sia progettata con massima attenzione, in modo da rispondere ad alcune esigenze fondamentali.
Non si può sottolineare mai abbastanza, infatti, quanto cruciale sia questo adempimento nel quadro dell’immunizzazione dell’azienda da possibili incidenti che potrebbero essere forieri di enormi rischi sul piano per le libertà e per i diritti degli interessati, nonché per il bilancio aziendale.
Infatti, il fattore umano è molto spesso una delle maggiori vulnerabilità nel sistema di sicurezza aziendale, poiché da esso dipendono numerose scelte di elevata criticità e poiché, contrariamente alle macchine, può deliberatamente eludere determinate istruzioni laddove non sia consapevole dei rischi che tale condotta comporti.
In merito al tipo di rischio a cui l’azienda si espone, poi, occorre sempre ricordare che la mancata compliance alle norme in materia di privacy non comporta, per l’azienda, solo il rischio di subire sanzioni in caso di controlli da parte dell’autorità di controllo (il cui importo, comunque, ai sensi dell’art. 83 del GDPR, può raggiungere somme ragguardevoli).
Infatti, laddove una violazione comporti danni per un interessato, è sempre possibile per quest’ultimo agire per il risarcimento del danno, ai sensi dell’art 82, il quale peraltro pare invertire, mediante il par. 3, l’onere della prova tipico della responsabilità aquiliana.
Infine, è ovviamente di primaria importanza soffermarsi sulle caratteristiche che deve avere la formazione aziendale in materia di privacy, per rispondere correttamente alle esigenze del titolare e non tradursi in un inutile costo, privo di alcun beneficio. Ciò in particolare per le micro e piccole imprese, la cui peculiarità di assetto e natura impone un’attenzione ancora maggiore.
In primo luogo, dovrebbe essere sempre progettata in modo tale da trasmettere efficacemente alcune nozioni fondamentali della disciplina normativa e dei fattori tecnici della data protection, ma sempre con una netta impronta di adeguatezza al contesto.
Il formatore, cioè, deve sì “passare” alcuni elementi fondamentali e costanti ma deve sempre ricordare che non si sta tenendo un corso accademico, in università o in un master, ma un corso di formazione per addetti ai lavori. Ciò impone che si tenga sempre un occhio non solo sul taglio concreto ed operativo, magari arricchendo le sessioni con esempi pratici, che peraltro favoriscono la fruibilità dei contenuti e la tenuta dell’attenzione, ma anche sulle specificità della realtà aziendale in cui ci si trova.
Contenuti di una sessione formativa
Sembrerà banale, ma è inutile dilungarsi in lunghe spiegazioni su aspetti genericamente importanti ma poco pertinenti al contesto di specie. Ad esempio, non si dovrà dedicare troppo tempo alle spiegazioni in materia di consenso quale base giuridica del trattamento se l’aula è composta da operatori che, data la natura del business aziendale o della loro funzione di appartenenza, non si troveranno mai a gestire dati trattati sulla base dello stesso.
Non vi è dubbio, infatti, che la disciplina del consenso sia centrale nella normativa sulla privacy e ponga spunti di riflessione di altissimo profilo, ma ciò poco incide sul vero obiettivo della sessione formativa, ossia rendere gli operatori consapevoli dell’impatto delle loro azioni sulla sicurezza dei trattamenti di dati ai quali sono autorizzati.
La sessione, inoltre, non dovrà protrarsi eccessivamente o confondere i discenti. Non ci si trova, come già detto, di fronte a futuri specialisti del settore (ai quali tanto bene fanno i dubbi e gli approfondimenti) ma a persone che hanno bisogno che gli si forniscano punti di riferimento chiari e indicazioni utili nella loro quotidianità pratica.
La formazione deve essere, poi, occasione per sensibilizzare, oltre che per formare il personale. Se formare significa trasmettere contenuti o skill, sensibilizzare significa rendere consapevoli i destinatari del proprio messaggio dell’importanza e del “peso” delle proprie azioni.
Sicura importanza, in questo senso, è rivestita dal fatto che il personale, uscito dall’aula, risulti consapevole del valore dei dati come asset aziendale, da un lato, nonché dei rischi (per le persone e per l’azienda) di eventuali violazioni (data breach) o mancata applicazione di misure di sicurezza (come, per fare un esempio, del mancato rispetto di una data retention policy).
Ovviamente è necessario trasmettere alcuni contenuti centrali per la disciplina in esame. I principi fondamentali codificati nel Reg. (UE) 2016/679, i soggetti del trattamento, le basi giuridiche dello stesso, alcuni adempimenti fondamentali e i diritti degli interessati devono ovviamente essere parte dei contenuti di una buona formazione (salvo eccezioni), così come dei focus su data retention policy e data breach, magari sulle procedure aziendali specifiche se in essere nella realtà di riferimento.
Non si dimentichino, poi, passaggi (più o meno approfonditi a seconda del contesto) ad elementi di cyber security e di sicurezza fisica, perché un corso limitato agli aspetti legali della disciplina non può certamente esaurire le necessità operative alle quali si propone di rispondere.
Il tutto, come già detto, dovrebbe essere trasmesso con l’aiuto di esempi, tramite il supporto di slides o dispense che riassumano e semplifichino i concetti fondamentali e, aspetto cruciale, con un linguaggio adeguato al contesto.
Grave è la circostanza (non così rara) in cui il docente scambi la sessione formativa per un’occasione di dar sfoggio della propria preparazione. Niente di più sbagliato, una lezione non è una passerella ed il protagonista è il fruitore, non il veicolo (l’insegnate).
Ciò in particolar modo in micro o piccole imprese, magari commerciali o artigianali, nelle quali l’audience potrebbe essere costituita da soggetti che poco hanno a che fare con l’universo legale, quello informatico o altri affini. Qui la formazione dovrà avere un taglio ancor maggiormente pratico, orientato fermamente a fissare nella mente dell’uditorio pochi concetti ma chiari, che possano diventare punti cardini nella gestione quotidiana della attività senza confondere, mettere ansia o appesantire esageratamente l’attività in contesti in cui manca la dotazione organica per poter affidare ad alcuni il compito di far propria la disciplina con una certa profondità, per poi tradurla quotidianamente per tutti in pratiche sane e ottemperanti.
Deve essere prevista la possibilità di interagire con domande, a patto che sia comunque sempre il docente a gestire il tempo e il filo logico del discorso, per evitare inutili perdite di tempo o l’effetto “sportello reclami”.
Deve, infine, essere previsto un test di adeguata difficoltà: non inutilmente difficile (non siamo in università) per evitare di affliggere i valutati, né troppo banale. Bene sarebbe riservare del tempo per una veloce correzione del test in tempo reale, in modo che tutti possano fissare nella loro mente, grazie all’effetto emotivo della circostanza, anche le risposte corrette laddove abbiano sbagliato.
Sarebbe bene, poi, in realtà nelle quali vi è una divisione chiara tra funzioni con responsabilità cruciali in materia di privacy (responsabile HR, IT interno, Affari legali, Responsabile Marketing) e funzioni solo “destinatarie”, prevedere sessioni separate con contenuti adeguati, così che non si rischi di sovraesporre gli operativi o di fornire una formazione insufficiente a ruoli cruciali.
Conclusioni
La formazione, come detto, è un momento centrale del percorso di adeguamento di un’organizzazione e merita un investimento di energie e risorse adeguato, pena da un lato un adeguamento monco, a prescindere dai soldi spesi per gestionali all’avanguardia, cyber security o altre misure tecniche del caso, dall’altro un costo inutile in termini di denaro e tempo speso dalle proprie risorse.
Note e riferimenti bibliografici
“Sorvegliare l’osservanza del presente regolamento […] compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo” ↑
“L’appropriata formazione in materia di protezione dei dati al personale che ha accesso permanente o regolare ai dati personali.” ↑
“Il responsabile del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del titolare del trattamento, che abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri.” ↑
“Il titolare del trattamento e il responsabile del trattamento fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri.” ↑
Cfr. Mauro Alovisio, Costanza Mottino, “Formazione privacy obbligatoria, col GDPR: che c’è da sapere” su Agenda Digitale (visitato l’11 maggio 2019) ↑
