NEWS

Istruzione, formazione e aggiornamento degli autorizzati: prerequisito fondamentale per la compliance al Gdpr

Quando possiamo realmente parlare di gestione ottimale della privacy, quindi essere definiti compliant, nella sfera della gestione del personale dipendente? Quali sono, pertanto, gli adempimenti che il Titolare del Trattamento dati dovrà obbligatoriamente adottare per essere conforme al Regolamento (UE) 2016/679, rispettandone i princìpi e adottando procedure organizzative e di sicurezza per assicurare, sui dati trattati, un rischio definibile basso? Per adottare il linguaggio del Regolamento (UE) 2016/679 il Titolare del Trattamento dovrà, solamente, agire con accountability, pertanto con consapevolezza, competenza e responsabilità.

Istruzione, formazione e aggiornamento  del personale in materia di privacy: fondamentale per la compliance al Gdpr


Prerequisito fondamentale al fine di poter trattare un dato è, come ci è stato insegnato, l’istruzione. Tale nuova terminologia, che ritroviamo nella sua etimologia originaria di “formazione” solo nell’art. 39 del GDPR, fa presagire un percorso di apprendimento molto più strutturato rispetto al passato; infatti, istruire un soggetto significa procedere con un percorso teorico e pratico specifico di una determinata attività (il sostantivo “istruzione” è derivato dalla parola latina instruĕre, che significa “costruire, dare una struttura”). Vorrà dunque il nuovo Regolamento (UE) 2016/679 farci trasparire la necessità che la sola teoria senza un’applicazione pratica non potrà essere di reale impatto su coloro che trattano dati?

Se prima dell’avvento del Regolamento (UE) 2016/679 si poteva definire il soggetto che trattava i dati, per conto del Titolare del trattamento, con il nome di “Incaricato al trattamento dati”, notiamo che negli articoli che chiariscono il concetto sicurezza, istruzione e formazione si parla solo ed esclusivamente di “chiunque abbia accesso a dati personali” (art. 29 GDPR), “chiunque agisca sotto la loro autorità e abbia accesso a dati personali” (art. 32 GDPR), “formazione del personale che partecipa ai trattamenti” (art. 39 GDPR), “attribuiti a persone fisiche, espressamente designate” (art. 2-quaterdecies, D.Lgs. n. 196/2003 come modificato dal D.Lgs. n. 101/2018).
Sebbene, quindi, sia formalmente sparita la figura dell’Incaricato al trattamento dati, appare evidente che sia stata solo una epurazione di tipo lessicale; cambiata la forma ma non la sostanza.

(Nella foto: Roberto Pizziconi, Consulente del Lavoro e membro del Gruppo di Lavoro per la tutela della privacy nella gestione del personale. E' autore del capitolo "Istruzione, formazione e aggiornamento degli autorizzati" nel libro "Privacy e gestione del personale")

Il Titolare del Trattamento dovrà, per adempiere correttamente ai dettami del Regolamento (UE) 2016/679, non dimenticare il monito dell’art. 25 istruendo tutti gli incaricati sul significato di minimizzazione del dato e pseudonimizzazione dello stesso; sarà sua cura far percepire agli incaricati sia la necessità di evitare la ridondanza di un dato trattato, sia la peculiarità e l’importanza di tutte le operazioni effettuate, inserendo nelle Istruzioni Operative cosa si debba intendere per pseudonimizzazione e minimizzazione del trattamento.

Al fine di rendere più chiare le modalità che il Titolare del Trattamento dovrà mettere in atto al fine di ottemperare a uno degli adempimenti più ostici, ovvero quello della formazione, si potrebbe utilizzare l’analogia comparando tale adempimento con la formazione antincendio dei lavoratori dipendenti quando, effettuata la formazione teorica, gli stessi si cimentano con le procedure manuali di spegnimento di un incendio in ambiente completamente sicuro (vasca antincendio).

Il Titolare del Trattamento dati potrebbe, o dovrebbe secondo una lettura più analitica del Regolamento UE 2016/679, prevedere una formazione pratica, successiva alla teoria e a un test valutativo delle competenze acquisite, nella quale simulare, in ambiente sicuro, tutte quelle criticità riscontrabili durante l’attività lavorativa che potrebbero comportare un incidente sui dati. A titolo esemplificativo e non esaustivo si potrebbe procedere con simulare una perdita accidentale dei dati, prevedendo una procedura di comunicazione immediata al proprio referente e l’attuazione di procedure di ripristino degli stessi e la verifica della bontà dell’operazione sia da un punto di vista qualitativo sia di tempistica di intervento.

Non possiamo, infine, non accennare che nell’ultimo periodo, causa pandemia, ci si è cimentati con un massiccio utilizzo dello smart working che ha, ovviamente, modificato radicalmente i processi di trattamento dei dati, in quanto la maggior parte degli incaricati al trattamento si sono trovati a operare presso le proprie abitazioni e non nella sede abituale del Titolare del Trattamento. Sicuramente sia per la previsione dell’art. 25 del Regolamento UE 2016/679 sia per le regole generali del trattamento si sarebbe dovuto prevedere un aggiornamento dell’istruzione on line nella quale individuare ulteriori misure di sicurezza da adottare per i dati trattati da remoto e la definizione di tutti gli altri adempimenti (accesso agli strumenti informatici, sicurezza fisica e logica, back up dei dati, ecc.).

Note sull'Autore

Roberto Pizziconi Roberto Pizziconi

Consulente del Lavoro, membro del Gruppo di Lavoro Federprivacy per la tutela della privacy nella gestione del personale. Web: www.studiopizziconi.it

Prev Riconoscimento facciale: le linee guida del Comitato Consultivo della Convenzione 108+
Next Controlli difensivi e indagini su dipendenti infedeli da disporre e proporzionare con rigore

Il presidente di Federprivacy intervistato su Rai 4

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy