L’avvento del GDPR ha portato imprenditori, professionisti e in generale tutti coloro che, a qualunque titolo, operano nel mercato del lavoro o nella pubblica amministrazione, a ripensare la propria organizzazione.
L’attenzione si è concentrata, in particolare, sull’individuazione di Titolari e Responsabili, sull’annosa questione della necessarietà/opportunità di “nominare” Responsabili interni, sull’inquadramento dei cosiddetti soggetti designati, sulle misure di sicurezza – in particolar modo di natura informatica, ma non solo – sui casi di obbligatorietà della valutazione d’impatto o della nomina di un DPO, sulle condizioni che consentono il trasferimento dei dati extra-UE e via discorrendo.
Ma dove si colloca, in tutto ciò, la formazione in materia di trattamento dei dati personali? Esiste, in aggiunta a quelli citati come esempio, anche un obbligo di formarsi?
L’obbligo di formazione nel Codice Privacy
Di formazione, il nostro ordinamento ci parlava già con il previgente Codice Privacy, quando, nel prevedere il contenuto del Documento Programmatico sulla Sicurezza (DPS), disponeva che fosse inserita al suo interno “la previsione di interventi formativi degli incaricati del trattamento, per renderli edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal titolare.”
Circa le tempistiche, si diceva che “la formazione è programmata già al momento dell’ingresso in servizio, nonché in occasione di cambiamenti di mansioni, o di introduzione di nuovi significativi strumenti, rilevanti rispetto al trattamento di dati personali.”
Le prescrizioni richiamate erano contenute nell’art. 19, punto 6 dell’allegato B del Codice Privacy (D. Lgs. 196/2003), ovvero l’allegato che disciplina (in accordo con quanto richiesto dagli artt. 34 e 35 dello stesso Codice) le cosiddette misure minime di sicurezza.
La formazione era, quindi, un obbligo specificamente previsto, in quanto rientrante fra le misure di sicurezza necessariamente presenti in ogni organizzazione. Compito del datore di lavoro era quello di prevederla fin dall’inizio del rapporto professionale e di curarne l’aggiornamento quando, al cambiare di situazioni di fatto, potesse essere cambiato anche il livello e la tipologia di rischi.
Le previsioni di cui sopra sono venute meno, tuttavia, con il Decreto Legge n. 5/2012, poi convertito in Legge 35/2012. Il decreto ha, infatti, disposto l’abrogazione del DPS e con esso dei contenuti elencati all’art. 19 dell’allegato B, parte relativa alla formazione compresa.
Non resta, quindi, che domandarci se l’obbligo sia stato ripreso dal Reg. UE 2016/679 e se sia, di conseguenza, attualmente in vigore.
L’obbligo di formazione del Gdpr
Sono vari gli articoli del GDPR che, direttamente o indirettamente, si riferiscono (o potrebbero riferirsi) a questo adempimento.
L’articolo 39, rubricato “Compiti del responsabile della protezione” dei dati, elenca, appunto, quanto di competenza di tale figura, più nota con l’acronimo DPO (dalla versione in lingua inglese che parla di Data Protection Officer). Fra altre cose, al DPO (o RDP, che dir si voglia) è richiesto di sorvegliare l’osservanza del Regolamento, di altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati, nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo.
L’articolo 39 mette quindi, sul piatto, la necessità di una formazione e, ancor più, di una sensibilizzazione del personale autorizzato ad operare trattamenti.
Sulla stessa linea l’articolo 47. Nel disciplinare le cosiddette norme vincolanti d’impresa – quale possibile condizione di liceità di un trasferimento dati extra-UE – richiede che a comporne il contenuto minimo necessario concorra anche “l’appropriata formazione in materia di protezione dei dati al personale che ha accesso permanente o regolare ai dati personali”.
In altre due disposizioni, invece, il legislatore comunitario non parla propriamente di formazione ma di “istruzione”. In particolare, riferendosi ai soggetti che accedano ai dati in qualità di autorizzati (o addetti, o designati, comunque li si voglia chiamare) o di responsabili (termine che, a parere di chi scrive, non necessità dell’aggettivo “esterni”, da considerarsi quale implicito), prevede che nessun trattamento abbia luogo senza che il titolare abbia fornito preventive istruzioni in merito.
Alla lettura di queste norme, il quesito sembra comunque restare comunque in piedi.
La formazione è, attualmente, oggetto di un obbligo?
La risposta non può essere che affermativa.
E non solo perché la presenza della formazione nel sistema costruito dal GDPR è consacrata dalle norme appena richiamate, che la riferiscono, a ben vedere, al solo personale impiegato.
Ragionando più in generale è necessario, infatti, domandarsi: può, in un regolamento le cui fondamenta risiedono nel principio di Accountability – quale metro e misura di ogni intervento posto a carico del Titolare – ritenersi realistica l’ammissibilità di un trattamento di dati personali che non presupponga un’adeguata (e all’occorrenza aggiornata) formazione in materia?
Può un Titolare – chiamato a determinare i mezzi e le finalità del trattamento – realizzare una corretta analisi dei rischi senza conoscere le basi della disciplina? Anche laddove si affidasse alla competenza di un terzo, infatti, sostenere che possa esimersi da ogni valutazione in prima persona, colliderebbe con la sussistenza di una responsabilità giuridica di fatto non delegabile in toto.
La formazione come misura di sicurezza
La formazione è, a tutti gli effetti, una misura di sicurezza che deve essere messa in atto, e, in un’ottica di Privacy by design, deve precedere il trattamento. In aggiunta al fatto che l’art.32 GDPR si chiude, infatti, ribadendo quanto già sancito dagli artt. 28 e 28 in tema di istruzione dei soggetti responsabili e autorizzati al trattamento, la stessa deve considerarsi parte integrante di quanto previsto ai commi precedenti. Titolare e responsabile “mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio”. Di tali misure l’articolo 32 fornisce degli esempi, ma non un elenco esaustivo.
Senza includere alla base un’idonea formazione, come si potrebbe sostenere di aver impostato un sistema in grado di garantire la riservatezza dei dati trattati e di aver, soprattutto, perseguito la protezione dei dati personali fin dalla progettazione del trattamento come richiesto dall’articolo 25?
La necessarietà di avere tutti gli strumenti che consentano, oltre che di svolgere le proprie incombenze, di mantenere aggiornata la propria conoscenza specialistica è, del resto, prevista esplicitamente con riferimento al DPO. Ed è su Titolare e Responsabile che ricade, in base alla previsione di cui all’articolo 38, l’onere di fornirgli le risorse necessarie a tale scopo. A riprova del valore che non solo la formazione, ma il suo aggiornamento sono presupposti indefettibili nel quadro delineato dal GDPR.
Resta, ancora, del tutto attuale, quindi, quanto affermato nel 2010 dal Gruppo di Lavoro ex art. 29 (parere 3/2010), in base al quale è da ricomprendere fra le necessarie misure di sicurezza “un’adeguata formazione e istruzione del personale in materia di protezione dei dati. Il personale in questione dovrebbe includere gli incaricati (o responsabili) del trattamento dei dati personali, ma anche dirigenti e sviluppatori in campo informatico e direttori di unità commerciali”.
Nel panorama normativo attuale la formazione è, quindi, ancor più da considerarsi prerequisito indispensabile per chiunque, a qualunque titolo – che sia titolare, responsabile o generico soggetto autorizzato – debba operare un trattamento.
Le sanzioni
E sul piano delle sanzioni?
Il riferimento è sicuramente l’articolo 83, paragrafo 4 GDPR, che prevede sanzioni amministrative pecuniarie fino a dieci milioni di euro, o per le imprese, fino al 2 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.
Con questa tipologia di sanzione, infatti, sono punite tutte quelle violazioni che riguardano, fra altre cose, gli obblighi del titolare e del responsabile con riferimento ai principi di Privacy by Design e by Default, all’istruzione di soggetti responsabili e autorizzati al trattamento, alla predisposizione di un sistema che garantisca la sicurezza del trattamento minimizzando i rischi.
Ma la formazione, quale prerequisito ed elemento fondante di accountability, non può considerarsi un mero mezzo volto ad evitare, direttamente, questa sanzione.
La sua mancanza o inadeguatezza, infatti, può indirettamente portare alla collisione con qualunque disposizione in materia – contenuta nel GDPR o nella normativa nazionale come il nostro D. Lgs. 196/2003, opportunamente aggiornato, ma anche nei provvedimenti emanati dall’Autorità Garante, il tutto anche alla luce degli orientamenti espressi man mano dalla giurisprudenza di merito e di legittimità – a partire da un’inadempienza rispetto a singoli precisi obblighi (registro dei trattamenti, DPIA e via dicendo) per arrivare al mancato o tardivo riscontro alla richiesta di esercizio dei propri diritti da parte degli interessati, come anche alla violazione dei principi contenuti nell’articolo 5 o all’erronea gestione (con relative conseguenze in termini di danno e maggiori sanzioni) di un eventuale Data Breach.
Non fare formazione o non tenerla periodicamente aggiornata può comportare, quindi, conseguenze ben più ampie di quanto si possa ipotizzare ad una lettura superficiale del Regolamento. Ad una sanzione amministrativa di poche migliaia di euro come ad un cospicuo risarcimento del danno.
Vista da un’altra angolazione, in realtà, la formazione può diventare (ma questo vale, in parallelo, per molti degli istituti di cui alla normativa privacy, se non per la disciplina nel suo complesso) ben più che un ennesimo onere posto in capo al titolare del trattamento. Essa può convertirsi, se ben strutturata, in uno strumento di riordino generale dei processi aziendali, che nel contribuire a rendere l’impresa (o lo studio professionale, o la pubblica amministrazione) più “compliant” può avere come effetto collaterale quello di semplificare e accelerare le operazioni compiute da ogni lavoratore impiegato, in virtù di una consapevolezza acquisita idonea a rendere più rapida, automatica ed efficiente ogni fase dell’attività.
Come deve essere la formazione
Come dovrà essere, quindi, la formazione ricevuta?
Sicuramente, così come tutto il sistema di gestione dei dati, dovrà essere cucita sulla singola attività e, quanto più possibile, sul singolo incarico.
Per questo, “formazione” ed “istruzioni”, pur non essendo due concetti coincidenti dovranno agire, di fatto, in parallelo e in sincrono. Ai pilastri della normativa di carattere generale dovrà sommarsi, quindi, una considerazione della particolarità dell’incarico e della tipologia di dati, di interessati, di archivi utilizzati e di trattamenti che questo porta con sé. Chi opera nell’ufficio di gestione del personale non potrà, per esempio, non essere edotto delle più stringenti misure che si rendono necessarie (e non semplicemente opportune) nel trattare i dati relativi allo stato di salute di un dipendente.
Alla competenza nel campo giuridico dovrà, quindi, sommarsi una conoscenza più specifica del settore di attività considerato e della tipologia di soggetti autorizzati presenti al suo interno, nonché delle categorie di soggetti terzi con i quali sono instaurati dei rapporti di collaborazione di qualunque genere o che rivestono il ruolo di interessati.
Tale formazione potrà essere svolta, nelle realtà in cui sia presente, dallo stesso DPO, nonché in alternativa da altro soggetto – interno o esterno, purché in possesso delle necessarie competenze – allo scopo individuato.
Perché di formazione vera e propria si possa parlare, questa dovrà prendere le mosse da una corretta progettazione, possibilmente in linea con l’ormai da tempo noto metodo “SMART”, che richiede innanzitutto la definizione degli obiettivi, dei cui requisiti di validità costituisce acronimo.
Gli obiettivi dovranno, quindi, innanzitutto essere chiaramente delineati, ovvero Specifici. Dovranno essere numericamente Misurabili (e quindi, in particolare, prevedere un test di valutazione finale), Raggiungibili (e quindi realistici), ma al contempo Rilevanti (giudizio che consegue ad una corretta analisi costi/benefici) e infine Temporizzati, ovvero legati a precise scadenze temporali. E su quest’ultimo punto, specificamente nel campo privacy, è opportuno aggiungere anche: aggiornati al mutare di situazioni di fatto o di diritto, nonché periodicamente a prescindere da variazioni intervenute.
La metodologia didattica potrà essere varia e non necessariamente quella di tipo classico/frontale.
Potrà partire, per esempio, dall’analisi di casi pratici ed essere strutturata quale metodologia esperienziale, in cui si ipotizzano situazioni concretamente verificabili e si realizzano simulazioni e role play, così come potrà svolgersi in presenza o con modalità e-learning.
Conclusioni
Si ritiene utile, in conclusione, aprire due brevi parentesi.
In primo luogo è corretto dire che servirà a poco, al fine di soddisfare l’onere della prova di cui il GDPR carica il Titolare, dimostrare di aver formato il dipendente sulla normativa, di averlo istruito sulla specifica procedura da applicare allo specifico trattamento, senza avergli al contempo fornito gli strumenti basilari per poter agire in conformità alla procedura definita. Ecco perché la formazione, oltre che con le istruzioni, dovrà incastrarsi nel miglior modo possibile con tutte le altre misure di sicurezza – fisiche, elettroniche, informatiche – implementate a seguito di accurata analisi dei rischi.
Ed infine, che in situazioni di emergenza (come quella che purtroppo ha sperimentato il nostro Paese e non solo, e che fortemente ha impattato sulla tipologia di dati trattati, in particolare di tipo sanitario), aver effettuato un’adeguata formazione “a monte” del personale sulla gestione dei dati in condizioni ordinarie, è elemento che fa la differenza sull’immediatezza dell’inserimento di trattamenti, in aggiunta, di carattere straordinario. Impedendo, di conseguenza, che la gestione di una fase di emergenza diventi occasione per una violazione massiva dei principi fondamentali della disciplina, con tutto quello che, in termini di diritti degli interessati, una simile violazione può comportare.
