Data Privacy Day: perchè?
Nel 2006, il Consiglio d’Europa ha deciso di istituire il Data Privacy Day da celebrare ogni anno il 28 gennaio, proprio per ricordare la data di apertura alle firme della Convenzione n.108 del Consiglio d’Europa. La Giornata della protezione dei dati viene oggi celebrata a livello mondiale, e, al di fuori dell’Europa, viene chiamata Giornata della privacy.
Perché celebrare una Giornata della protezione dei dati personali? Ogni giorno in Europa 250 milioni di persone utilizzano Internet, condividendo sempre più spesso i propri dati personali: online banking, acquisti, social media, relazioni con le pubbliche autorità.
Purtroppo, ad una diffusione sempre maggiore dei dati personali e del loro utilizzo, non corrisponde una maggiore conoscenza dei rischi e dei diritti in quest’ambito. Raramente i soggetti sono consapevoli delle minacce (divulgazione non autorizzata, furto d’identità o abusi online, furto dei dati, solo per citarne alcuni) e delle violazioni che possono subire.
Ecco perché è importante dedicare una giornata alla protezione dei dati, con lo scopo di rendere più consapevoli i soggetti sui propri diritti e sui comportamenti che possono limitare i rischi connessi.
Dati personali: chi viene coinvolto
Naturalmente questa consapevolezza deve essere presente soprattutto all’interno delle Società o della P.A., ormai veri e propri “magazzini” di dati personali, e soggetti dal 2016 al Regolamento generale sulla protezione dei dati personali (meglio noto come GDPR).
Questi Enti, sia ove agiscano quali Titolari o quali Responsabili del trattamento, operano per mezzo dei propri dipendenti (nominati soggetti autorizzati al trattamento dei dati), i quali dovranno ricevere idonea formazione, affinché possano essere consapevoli dei dati personali trattati e dei trattamenti che svolgono nel corso della loro attività lavorativa.
Allo stesso tempo, la formazione è importante al fine di limitare i rischi di incorrere in eventuali contestazioni o sanzioni in merito al trattamento dei dati, nonché per ridurre i rischi in ambito sicurezza delle informazioni.
È necessario ricordare, inoltre, che la formazione del personale rileva ai fini del principio di accountability, ovvero di responsabilizzazione, in quanto una adeguata formazione del personale, corredata da un registro delle presenze e dal materiale di studio, aiuta a dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione del GDPR.
Il motivo?
Un’attenta e puntuale produzione documentale di Informative, del Registro del trattamento e di DPA (Data Processing Agreement) potrebbe essere vanificata da comportamenti non conformi ai principi del GDPR da parte dei propri dipendenti.
Formazione e previsioni normative
Il Regolamento generale sulla protezione dei dati personali è abbastanza chiaro nel prevedere una formazione rivolta ai dipendenti, e adeguata alle attività di trattamenti svolte.
Infatti, all’art. 29 del GDPR “il responsabile del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del titolare, che abbia accesso ai dati personali non può trattare tali dati se non è istruito in tal senso dal titolare”. La normativa è trasparente nel sottolineare la necessità di fornire un’adeguata preparazione ai soggetti attivi nel trattamento.
La formazione, come anticipato, non è solamente prodromica alle attività di trattamento, ma rientra tra le misure di sicurezza da adottare. All’art.32, sempre del GDPR, si legge “il titolare del trattamento ed il responsabile del trattamento fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri”.
La formazione del personale riveste, quindi, questa duplice funzione: adempimento normativo finalizzato ad una corretta attività di trattamento; misura di sicurezza volta a mitigare i rischi derivanti dal trattamento dei dati. Una formazione in materia GDPR non solo mira a rendere più consapevoli e dotti sui concetti di dati personali e di trattamento degli stessi, ma anche a condividere comportamenti e prassi per ridurre gli errori umani, fonte principale dei Data Breach.
Tale adempimento, però, viene spesso sottovalutato e vissuto come appunto un semplice adempimento burocratico.
Tuttavia, un’istruzione teorico/pratica su questa materia è volta ad evitare che condotte inconsapevoli, o spesso prassi consolidate ma errate, possano dar vita a eventi nefasti quali una diffusione non voluta di dati personali, la distruzione di documenti cartacei (contenenti dati personali destinati invece alla conservazione), o anche il mal funzionamento delle infrastrutture informatiche aziendali.
Come se non bastasse, la violazione degli obblighi formativi e l’assenza di un adeguato piano di formazione, possano comportare la sanzione amministrativa di cui all’articolo 83, comma 4, del GDPR ossia la sanzione “fino a 10.000.000 Euro, o per le imprese, fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore”.
Il piano formativo
Accertato che la formazione in materia di trattamento dei dati personali è fondamentale, anche perché in assenza di tale attività l’adeguamento al GDPR sarà sempre in qualche modo incompleto, il primo passo da compiere, per fornire un’adeguata formazione al proprio personale, è la stesura di un piano formativo da personalizzare a seconda delle figure e delle aree aziendali da formare (per avere informazioni sui nostri servizi clicca qui).
Il piano formativo dovrà interessare tutti coloro che sono autorizzati a trattare i dati personali, prevedendo una formazione generale sul Regolamento ed una specifica a seconda delle attività di trattamento effettive.
Inoltre, è sempre consigliato prevedere, a prescindere dall’ufficio di appartenenza, un modulo relativo alla sicurezza, informatica e non, che spieghi come “difendersi” da possibili attacchi esterni o comportamenti negligenti interni.
Utili, per una maggiore comprensione, sono i seguenti esempi:
- L’ufficio Risorse Umane effettua, generalmente, una quantità elevata di trattamenti su molti dati personali, molti dei quali anche “particolari”, di cui all’art.9 del GDPR (non solo dati anagrafici ma anche dati relativi allo stato di salute, dati che coinvolgono la sfera politica/sindacale). Sempre questo ufficio ha la necessità di archiviare e conservare tutti questi dati per periodi di tempo lunghi, tempi di conservazione spesso previsti dalla legge. È chiaro che i soggetti che lavorano per l’ufficio risorse umane, necessitano di una formazione dettagliata e puntuale sul Regolamento (quali sono i Dati personali, cosa si intende per Trattamento, chi sono i Responsabili del Trattamento e perché nominarli), sui principi generali da seguire nel corso del proprio lavoro quotidiano (liceità, correttezza, minimizzazione dei dati, integrità ecc.), sui comportamenti conformi al GDPR (obbligo di rilascio dell’Informativa ex art 13 del GDPR, autorizzare a trattare i dati solo chi materialmente andrà ad effettuare tale operazione), nonché su quelle misure di sicurezza da rispettare.
- Caso simile per l’ufficio IT. Considerando la possibilità per i dipendenti che lavorano per un ufficio simile, di accedere ad informazioni in maniera “privilegiata” (non solo gestione della rete aziendale, ma anche supporto help-desk per gli altri colleghi), la formazione non potrà prescindere da moduli relativi alla sicurezza informatica e alla privacy by design.
Quindi, come ormai chiaro, il GDPR non prevede nulla in merito alla durata della formazione o al contenuto della stessa, ma sarà l’Ente, sulla base delle proprie peculiarità e in rispetto del principio di accountability, a predisporre, con l’aiuto di professionisti anche esterni, una formazione adeguata alle sue necessità. Come se fosse un abito fatto su misura.
Giuseppe Lavacca
