Il rispetto del principio di accountability rappresenta senza tema di smentite uno dei principali cardini del regolamento europeo in materia di protezione dei dati (Regolamento (UE) 2016/679, anche noto come GDPR), e comporta per l’azienda – nella sua qualità di titolare del trattamento dei dati personali – l’obbligo di mettere in atto misure tecniche e organizzative adeguate a garantire, ed essere in grado di dimostrare, che il trattamento sia effettuato in conformità alla normativa medesima.
L’obbligo della formazione
Come già sottolineato in un precedente intervento[1], con riferimento alle “misure tecniche e organizzative adeguate” da adottare, il quarto comma dell’art. 32 (rubricato “Sicurezza del trattamento”) stabilisce[2] per il titolare l’importante obbligo di istruire chiunque agisca sotto la propria autorità e abbia accesso ai dati personali.
Dal tenore letterale della norma, pertanto, non solo la formazione risulta essere un vero e proprio obbligo (che concorre, assieme agli altri adempimenti previsti dalla normativa privacy, al rispetto del citato principio di accountability), bensì costituisce essenziale precondizione per consentire l’accesso ai dati personali a tutti coloro che possono effettuarvi le relative attività di trattamento.
Formazione privacy, un’opportunità per le aziende
A ben vedere, oltre al dato normativo, c’è considerare come l’attività formativa dovrebbe di per sé costituire un’opportunità per l’azienda, allo scopo non solo di accrescere il proprio valore reputazionale ma anche di migliorare l’organizzazione dei processi interni e la sensibilizzazione del personale rispetto al rischio di data breach. Come correttamente osservato, “è ormai opinione diffusa e consolidata che le vulnerabilità maggiori in tema di sicurezza informatica provengono dall’interno e che la formazione ai dipendenti sia una delle misure più efficaci per ridurre i rischi di phishing, malware e ransomware”[3].
Il perimetro di obblighi e divieti delineati negli atti di nomina, così come le policy aziendali, per quanto risultino essere parimenti fondamentali e concorrano dal canto loro al rispetto dell’obbligo di istruzione del titolare, hanno per propria natura una diversa impostazione, non potendo integrare caratteristiche che sono connaturate alla vera e propria attività formativa stricto sensu: il rapporto diretto con il soggetto formatore e la possibilità di rivolgere dei quesiti (laddove l’attività si svolga in presenza o in modalità telematica sincrona), così come la previsione di test valutativi, sono entrambi esempi di come la formazione possa riuscire (almeno potenzialmente) a coinvolgere maggiormente i soggetti ai quali è rivolta.
Risulta senz’altro inopportuno inquadrare il tema in uno schema rigido di regole, che mal si attagliano all’opposta necessità di cucire l’attività formativa in ragione del contesto nel quale viene svolta e del relativo fabbisogno formativo. La stessa normativa europea, infatti, non specifica modalità, contenuti e tempi di svolgimento o aggiornamento della suddetta attività, proprio perché quest’ultima – in ottica di applicazione sostanziale e non meramente formale della normativa – deve essere strutturata e sviluppata principalmente in base all’ambito operativo dell’azienda, alla sua composizione interna, ai trattamenti effettuati e alle misure di sicurezza implementate.
Le indicazione per una formazione efficace
Ciò premesso, appare comunque utile individuare – senza pretesa di esaustività – alcune indicazioni di carattere generale, da tenere a mente qualsiasi sia il contesto:
- Se da un lato i destinatari dell’attività formativa sono, come detto, tutti coloro sottoposti all’autorità del titolare, per quanto riguarda invece il soggetto tenuto a effettuare la formazione, nelle more di un’indicazione puntuale all’interno del testo normativo, è il titolare a dover individuare una o più figure adatte allo scopo. Appare scontato chiarire come non si potrà prescindere dal far ricadere la scelta su un soggetto esperto della materia (quale ad esempio lo stesso consulente privacy dell’azienda, c.d. privacy officer) o, meglio ancora, su una pluralità di soggetti ciascuno con una propria specializzazione, alla luce del carattere interdisciplinare della materia. In questa seconda ipotesi si avrebbe una copertura più capillare e dettagliata anche delle aree “connesse” al tema della privacy come, ad esempio, quella informatica e della cybersicurezza.
Inoltre, nei contesti in cui è presente la figura del responsabile della protezione dei dati (o DPO, Data Protection Officer)[4], quest’ultimo deve essere in grado di controllare[5] e “consigliare al titolare […] quali attività di formazione interna prevedere […] e a quali trattamenti dedicare maggiori risorse e tempo”[6].
- In ogni caso appare opportuno tarare l’intervento formativo senza appesantirlo con un linguaggio troppo tecnico o incentrato su temi “astratti”. Lo scopo della formazione è proprio quello di “istruire” i soggetti sottoposti all’autorità del titolare e appunto per questo, al di là di indicazioni inerenti a definizioni e i principi, larga parte dovrà essere destinata all’analisi di “case studies”, all’illustrazione sostanziale degli strumenti e delle modalità di trattamento dei dati, nonché dei rischi ad esso connessi; alle misure tecniche e organizzative adottate dall’azienda; alle responsabilità e alle conseguenze sul piano sanzionatorio. Il tutto attraverso un linguaggio semplice e chiaro, che sia ben comprensibile e tenga in considerazione i diversi livelli di rischio che ciascuno si trova ad affrontare nell’espletamento delle proprie attività.
- Oltre al caso in cui la formazione sia prevista in presenza, per garantire che l’erogazione del corso non pregiudichi la continuità operativa dell’azienda potrebbe essere utile organizzare il suo svolgimento in tutto o in parte in modalità telematica, sia essa sincrona (così da raggiungere simultaneamente anche i soggetti che operano in modalità di lavoro agile[7] o per dar modo di interagire direttamente con il docente) o asincrona (per consentire a ciascuno di usufruire della formazione in modo più “flessibile”, senza che risulti necessaria la presenza in un luogo o a un orario definito). Nel caso in cui all’attività prendano parte più docenti, il corso potrebbe essere scomposto in più sessioni, in base ai diversi temi affrontati (es. ambito giuridico, informatico, organizzativo, etc.).
- Data la complessità della materia, al fine di rendere maggiormente efficace la formazione, risultano utili presentazioni PowerPoint intuitive e la consegna di materiale quali dispense o prospetti informativi, in cui vengano sintetizzati o schematizzati i principi, gli adempimenti e i rischi ritenuti maggiormente centrali.
- Al termine della sessione formativa, non solo dovrebbe essere lasciato ampio spazio per le domande, ma altresì effettuato un test finale, al fine di valutare il reale grado di apprendimento dei soggetti e, eventualmente, intervenire nuovamente sugli argomenti la cui comprensione è risultata più lacunosa. Inoltre, il test avrà – tendenzialmente – anche il vantaggio di stimolare preventivamente l’attenzione, alla luce della successiva valutazione che ne scaturisce.
- Nel rispetto del principio di accountability richiamato in premessa, appare quanto mai fondamentale tenere traccia di tutte le attività svolte. Anche l’attività formativa dovrà infatti essere rendicontata dal titolare al pari degli adempimenti previsti dal GDPR, ad esempio attraverso report, registrazioni, i menzionati test valutativi o con attestati di partecipazione.
- Alla luce dei continui aggiornamenti normativi e del carattere trasversale della materia, altrettanto fondamentale appare lo svolgimento di un’attività di continuo e costante aggiornamento tramite circolari interne (periodicamente veicolate tramite la intranet aziendale) o la messa a disposizione di periodici “question time” che possano stimolare e far emergere i quesiti da parte del personale.
- Per quanto non siano esplicitamente stabiliti dei termini temporali per l’aggiornamento della formazione svolta, spetta al titolare – coadiuvato dal privacy officer o, se nominato, dal DPO – svolgere una periodica verifica riguardo alla necessità di una sua revisione o integrazione, che si renderà opportuna, ad esempio, per:
- L’adeguamento rispetto ad aggiornamenti all’impianto normativo in materia di protezione dei dati personali o ad aree normative ad essa connesse (pensiamo, ad esempio, al tema del whistleblowing, rispetto al quale l’art. 13 del D. Lgs. 24/2023 esprime esplicitamente un collegamento con la normativa privacy);L’introduzione di modifiche nell’assetto delle risorse umane dell’azienda (nuove assunzioni, modifiche nei ruoli o nelle attività del personale) o nelle scelte di politica aziendale circa le misure di sicurezza tecniche e organizzative;L’introduzione in azienda di novità o aggiornamenti sui dispositivi e gli strumenti utilizzati dal personale tramite i quali si effettua un trattamento di dati personali (es. nuovo impianto per la rilevazione delle presenze[8]; nuovo software gestionale; etc.);
- L’adattamento rispetto ai feedback ricevuti dal personale o a seguito di eventi di data breach[9]: se, ad esempio, si è verificata una violazione di dati personali (tanto più se riconducibile al comportamento non corretto del dipendente) risulta opportuno prevedere uno specifico aggiornamento formativo.
Conclusioni
In conclusione, se da un lato è pacifico il carattere obbligatorio dell’attività formativa privacy in azienda, dall’altro lato alla luce dell’assenza di specifiche indicazioni normative rispetto a tempi e modalità del suo svolgimento, risulta più che mai opportuno mettere al centro la concreta applicazione di quel principio richiamato – non a caso – in apertura, ovvero quello di accountability. Sarà il titolare responsabile di definire la corretta struttura e portata dell’attività formativa, ricompresa a pieno titolo tra le misure organizzative di sicurezza di cui all’art. 24 GDPR.
Note
[1] www.agendadigitale.eu/sicurezza/privacy/data-protection-guida-alla-stesura-della-policy-aziendale-in-chiave-gdpr/
[2] Cfr. altresì art. 29 GDPR.
[3] www.cybersecurity360.it/soluzioni-aziendali/formazione-ai-dipendenti-su-privacy-e-cyber-security-come-renderla-piacevole-ed-efficace/
[4] Per approfondire il tema: www.agendadigitale.eu/cultura-digitale/dpo-guida-alla-nomina-del-responsabile-della-protezione-dei-dati-in-azienda/
[5] Cfr. art. 39, comma 1, lett. b), GDPR.
[6] Par. 4.4 delle “Linee guida sui responsabili della protezione dei dati” WP 243 rev. 01.
[7] Per approfondire il tema del c.d. smart working: www.cybersecurity360.it/legal/privacy-dati-personali/smart-working-e-byod-i-rischi-per-la-sicurezza-aziendale-e-per-la-protezione-dei-dati-personali/
[8] Per approfondire sul punto: www.agendadigitale.eu/sicurezza/privacy/sistemi-di-rilevazione-delle-presenze-in-azienda-guida-pratica-alla-compliance/
[9] Per approfondire il tema della notifica di un evento di data breach al Garante privacy: www.agendadigitale.eu/documenti/giustizia-digitale/data-breach-come-si-fa-la-notifica-al-garante-privacy-guida-pratica-per-aziende/
