La formazione come strumento di supporto all’accountability: un dipendente consapevole vale più di mille firewall!
Il principio di accountability ha rivoluzionato la compliance privacy: allo stato attuale un buon programma di awareness destinato ai lavoratori abbatte sensibilmente il rischio sanzioni.
Nonostante l’emergenza COVID-19 continuano le attività ispettive dei Garanti Europei. Guardando all’Italia, la maggior parte delle contestazioni riguardano il mancato rispetto dei principi alla base del trattamento dei dati: artt. 5 e ss. GDPR.
Gli accertamenti non hanno coinvolto soltanto le grandi realtà imprenditoriali. Le indagini sono state dirette anche nei confronti di Enti Pubblici, o realtà private di modesta entità: parliamo di Comuni con qualche migliaio di abitanti.
Siamo ancora lontani da una diffusa consapevolezza dell’importanza della disciplina privacy all’interno dei contesti aziendali: non si tratta di meri adempimenti collegati alla gestione dei sistemi informatici.
Privacy, in primo luogo, vuol dire corretto utilizzo dei dati personali nell’ordinaria amministrazione delle attività imprenditoriali. In primis, nella gestione documentale da parte di dipendenti e collaboratori.
Come possiamo evitare, allora, il rischio di possibili sanzioni? Come vanno regolarizzate le ordinarie attività del personale impiegatizio? Vediamolo insieme.
L’avvento del GDPR nel 2018 ha cambiato i paradigmi alla base delle attività di trattamento. Questo ha comportato la responsabilizzazione di ogni titolare del trattamento in merito alle scelte adottate nel proprio contesto di riferimento.
Accountability significa la soluzione ottimale al caso concreto; per assurdo, se non vengono trattati dati personali non sarà necessario alcun adempimento. L’unico requisito richiesto dalla normativa è saper giustificare, ed argomentare, le scelte effettuate (utilizzando l’espressione anglosassone: “to account”).
L’art. 24 del Regolamento (Responsabilità del titolare del trattamento) afferma che: “Tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento. Dette misure sono riesaminate e aggiornate qualora necessario.
La svolta è il principio di adeguatezza: la misura adottata deve sempre essere adeguata al contesto in cui viene adottata. In passato il Codice Privacy antecedente al 2018, e la Direttiva 95/46 parlavano di misure “minime”, non adeguate. La differenza è radicale.
Nella pratica, questo vuol dire partire da soggetti deputati alle attività di trattamento: incaricati, o autorizzati.
In primo luogo, sarà necessaria una formale autorizzazione per le attività effettuate dal dipendente: poche e semplici regole per svolgere in sicurezza le proprie attività di trattamento. Ma tutto ciò non è sufficiente.
L’art. 29 GDPR prevede, infatti, che “[…] il responsabile del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del titolare del trattamento, che abbia accesso ai dati personali non può trattare tali dati se non è istruito in tal senso dal titolare […]”.
Già nel 2010 il WP29 (Working Party ex art. 29) con proprio parere (n. 3/2010) aveva affermato la necessità di “[…] un’adeguata formazione ed istruzione del personale in materia di protezione dei dati. Il personale in questione dovrebbe includere gli incaricati (o responsabili) del trattamento dei dati personali, ma anche dirigenti e sviluppatori in campo informatico e direttori di unità commerciali”.
La norma citata impone un obbligo generale di formazione del personale dipendente, quindi non solo una formale designazione, ma una concreta pressa di coscienza delle attività privacy che vengono svolte in azienda.
Dunque, a prescindere dall’utilizzo di sofisticati sistemi di sicurezza informatica, un programma di formazione quantomeno basico per i dipendenti è d’obbligo. Sarebbe assurdo, infatti, investire in costosi sistemi ed apparecchiature e ritrovarsi con del personale che non sappia correttamente utilizzarli.
Guardando alle sanzioni comminate soprattutto agli Enti di piccole dimensioni si nota palesemente come siano frutto di una non sufficiente attività di formazione del personale: errori che un lavoratore con nozioni basiche avrebbe facilmente evitato.
Ricordiamo, pertanto, che tra le misure organizzative utilizzabili dall’azienda per abbattere i rischi connessi alle attività di trattamento la formazione del personale continua ad essere la più efficace e la meno costosa in termini economici. Un dipendente consapevole vale più di mille firewall!