Formazione del personale e GDPR
Tra i numerosi aspetti che Titolari e Responsabili di trattamento devono considerare per il raggiungimento della conformità al G.D.P.R., uno dei pilastri principali è costituito sicuramente dalla formazione del personale coinvolto bel trattamento dei dati personali.
Nel G.D.P.R. sono diversi i riferimenti alla formazione del personale. All’ art. 29 è stabilito che “il responsabile del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del titolare del trattamento, che abbia accesso ai dati personali non può trattare tali dati se non è istruito in tal senso dal titolare”. Inoltre, l’art. 32, relativo alla “Sicurezza del trattamento” prevede che “il titolare del trattamento ed il responsabile del trattamento fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri”.
Ulteriori menzioni sull’attività di formazione vengono fatte in riferimento ai compiti del Responsabile della Protezione dei Dati (meglio noto come Data Protection Officer), così come a quelli del Comitato Europeo per la protezione dei dati.
Per di più, lo stesso Gruppo di Lavoro ex 29 (nel parere n. 3/2010) ha evidenziato l’importanza di un’adeguata formazione ed istruzione del personale in materia di protezione dei dati, precisando come il personale in questione dovrebbe includere tutti i soggetti incaricati, nonché i dirigenti, gli sviluppatori informatici e i direttori delle singole unità commerciali.
Come se ciò non bastasse, si ricorda come (ai sensi dell’art. 83 del G.D.P.R.) ogni violazione in tal senso è passibile di sanzione amministrativa pecuniaria fino a 10 milioni di euro o fino al 2% del fatturato annuo mondiale e che, di conseguenza, l’adempimento degli obblighi di formazione è oggetto di accertamento da parte dell’Autorità di controllo.
La sicurezza dei dati, infatti, come ogni altro sistema di sicurezza, è composta da tre elementi essenziali: sistemi, organizzazione e persone.
Per “sistemi” si intendono tutte quelle misure di sicurezza fisica o logica applicate, come, ad esempio la presenza di una porta blindata o l’impiego di un particolare sistema di protezione sulla rete, mentre con il termine “organizzazione” vengono indicati tutti quei protocolli relativi al corretto e regolare utilizzo dei “sistemi”. Esempi concreti sono costituiti dai regolamenti interni sull’utilizzo dei dispositivi aziendali, sull’utilizzo della rete o della posta elettronica.
L’anello debole della sicurezza, come noto, è costituito dal terzo elemento: le persone. Con particolare riferimento alla tutela dei dati personali, l’errore umano non è solo un fenomeno piuttosto frequente, ma anche potenzialmente devastante.
Di conseguenza la formazione costituisce un requisito essenziale per poter compiere in maniera lecita e sicura un trattamento di dati personali. La stessa deve mirare alla preparazione dei soggetti in ottica di riconoscimento delle minacce e della prevenzione dei rischi legati alle medesime, illustrando, inoltre, quali siano le misure ed i protocolli adottati dalla realtà professionale di riferimento (specificando, logicamente, anche responsabilità ed eventuali sanzioni irrogate in caso di negligenza).
Pertanto, ogni azienda che non vi avesse ancora provveduto deve immediatamente attivarsi per l’implementazione di corsi e incontri formativi specifici, i quali da un lato consentano di conseguire attestati ufficiali e dall’altro rappresentino anche (e soprattutto) uno strumento che rispecchi con precisione i pericoli della realtà lavorativa di riferimento.