L’articolo 29 del GDPR come espressione del principio di accountability

L’articolo 29 del GDPR, intitolato “Trattamento sotto l’autorità del titolare o del responsabile” sancisce l’obbligo di istruire adeguatamente tutti i soggetti che, agendo sotto l’autorità del titolare o del responsabile del trattamento, abbiano accesso a dati personali.

Per quanto la disposizione in esame possa sembrare, a prima vista, di limitata rilevanza – soprattutto se paragonata agli altri, inediti, adempimenti introdotti dal GDPR – in realtà rappresenta un pilastro fondamentale del Regolamento, in quanto espressione diretta del principio di accountability. In ottemperanza a tale principio, infatti, il titolare del trattamento ha l’onere di adottare misure tecniche ed organizzative, che, secondo una valutazione basata sul rischio in relazione al caso concreto, garantiscano la conformità alle norme in materia di protezione dei dati personali. Al tempo stesso, devono essere implementate misure in grado di assicurare la sicurezza dei trattamenti svolti (tant’è che l’obbligo di istruire il personale è richiamato anche all’articolo 32, “Sicurezza del trattamento”). Fra le misure da attuare, pertanto, devono necessariamente essere ricomprese le istruzioni da fornire ai sottoposti.

La ratio della norma

Quanto premesso ci consente di delineare lo scopo della norma e – conseguentemente – delle istruzioni da fornire:

• Garantire la conformità alle norme privacy;
• Dimostrare la conformità alle norme privacy;
• Garantire la sicurezza dei trattamenti svolti;
• Delineare nettamente i ruoli privacy e le correlate responsabilità assumibili;
• Prevenire il verificarsi di violazioni dei dati trattati;
• Tutelare i diritti e le libertà degli interessati.

I soggetti istruiti diventano, a tutti gli effetti, parte sostanziale della struttura organizzativa del titolare o del responsabile del trattamento e, come tali, partecipano in prima fila nell’assicurare la liceità delle operazioni di trattamento svolte dall’organizzazione.

Le conseguenze in caso di violazione: case study

È facile comprendere, quindi, la ragione per cui l’inosservanza dell’obbligo di fornire le istruzioni sia ricompresa fra le disposizioni per la cui violazione è comminata una sanzione amministrativa pecuniaria fino a 10 000 000 EUR, o per le imprese, fino al 2 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.

Fra le Autorità di controllo europee il nostro Garante per la protezione dei dati personali è stato particolarmente attivo, negli ultimi anni, nel richiamare enti ed imprese al rispetto dell’articolo 29 del GDPR.

• Nel corso del 2022 il Garante ha sanzionato Tecnomed Trento s.r.l., per un importo pari a 10.000 euro. La società aveva messo in funzione diverse telecamere di videosorveglianza, alcune delle quali senza la necessaria autorizzazione. Inoltre, tre persone abilitate all’accesso alle immagini registrate utilizzavano credenziali condivise e solo una di queste era stata istruita al trattamento, in violazione dell’articolo 29 GDPR;
• Nel mese di giugno 2023 l’Autorità ha comminato due sanzioni, per un importo complessivo superiore a 400 mila euro, a Roma Capitale e Ama S.p.a., per aver diffuso i dati delle donne che avevano affrontato un’interruzione di gravidanza. In particolare, nel corso dell’istruttoria è emerso che Roma Capitale non aveva impartito ad Ama S.p.a. alcuna istruzione specifica sul trattamento dei dati personali ma solo indicazioni inerenti alla regolamentazione e gestione dei servizi cimiteriali affidati in gestione.

Il settore del telemarketing

Diverse sanzioni, inoltre, sono state comminate dal Garante nel settore del telemarketing. Ad accomunare i provvedimenti sanzionatori la carente gestione dei ruoli privacy – e dei trattamenti effettuati – lungo tutta la filiera di soggetti a vario titolo coinvolti (partner commerciali, agenzie promozionali, call center, etc.).

In tale contesto l’Autorità ha rilevato, in molteplici occasioni, la mancanza di sufficienti accordi contrattuali oppure la presenza di “un sistema di distribuzione delle responsabilità in ambito privacy fittizio, meramente formalistico”.

Ricordiamo i seguenti casi:

• Ordinanza ingiunzione nei confronti di Merlini s.r.l. – 9 luglio 2020 | 200.000 euro;
• Ordinanza ingiunzione nei confronti di Sky Italia S.r.l. – 16 settembre 2021| 3.200.000 euro;
• Ordinanze di ingiunzione nei confronti di Mas s.r.l.s., Mas s.r.l., Sesta Impresa s.r.l., Arnia società cooperativa – 13 aprile 2023 | rispettivamente: 200.000, 500.000, 300.000, 800.000 euro.

Come evitare di incorrere in sanzioni? Definire le istruzioni privacy

L’articolo 29 GDPR non esplicita come fornire le istruzioni ai sottoposti, né formalizza il contenuto sostanziale delle istruzioni. Un aspetto non di poco conto, in considerazione del fatto che, dal contenuto delle istruzioni, discende la concreta efficacia delle misure adottate. In linea di principio, le istruzioni dovranno essere definite seguendo una serie di specifici parametri di riferimento, fra cui le funzioni esercitate dal destinatario, le operazioni di trattamento affidate allo stesso, la tipologia di dati trattati, il rischio derivante dal trattamento svolto, etc.

Stante il vuoto normativo, questa fase risulta particolarmente complessa e necessita, quindi, della valutazione di esperti a conoscenza delle migliori prassi in materia.

Come evitare di incorrere in sanzioni? Veicolare le istruzioni privacy

Una volta determinato il contenuto essenziale delle istruzioni, il titolare del trattamento è tenuto a decidere quali modalità risultano più efficaci per veicolarle ai sottoposti. A riguardo, occorre tener presente l’esigenza di documentabilità derivante dal sopracitato principio di accountability: le misure adottate devono anche consentire al titolare di dimostrare la conformità. 

Per tale ragione, l’organizzazione potrà decidere di:

• formalizzare le istruzioni all’interno del documento di autorizzazione al trattamento dei soggetti designati (previsto dall’articolo 2 quaterdecies del Codice Privacy), da far sottoscrivere per accettazione e presa visione;
• sviluppare un programma di formazione.

La formazione: non solo un obbligo

La formazione rappresenta la soluzione più efficace per conformarsi alle norme: se abbinata a test di verifica delle competenze acquisite consente al titolare di dimostrare l’effettiva comprensione, da parte dei destinatari, delle istruzioni fornite. Al tempo stesso, l’attività di formazione rappresenta anche un’opportunità importante da non lasciarsi sfuggire, sia per la crescita professionale di tutti i soggetti partecipanti, sia per la valorizzazione dell’organizzazione nei confronti dei vari stakeholders. Pensiamo, ad esempio, a clienti che richiedono garanzie privacy come criterio di scelta dei fornitori, anche ai fini della rendicontazione di sostenibilità (ne abbiamo parlato qui).

Come strutturare il programma di formazione

Il programma di formazione dovrebbe avere le seguenti caratteristiche:

• mirato alle specifiche categorie di soggetti destinatari (se i partecipanti fanno parte della funzione marketing, ad esempio, sarà opportuno fornire loro istruzioni integrative in materia di contrasto allo spam; se i partecipanti fanno parte della funzione HR sarà opportuno fornire loro istruzioni specifiche sul trattamento dei dati particolari; etc.);
• erogato e rilasciato da soggetti accreditati per i servizi di istruzione e formazione professionale;
• I docenti dovrebbero fornire adeguate garanzie ed essere in possesso di certificazioni che ne attestino professionalità, competenze ed esperienza sul campo;
• Il corso dovrebbe essere comprensivo di questionari, esercitazioni e test, con rilascio di attestati finali a riprova delle competenze acquisite dai partecipanti;
• Il programma di formazione dovrebbe prevedere un aggiornamento periodico, contestualmente alla verifica del perdurare delle competenze acquisite dai partecipanti.

Labor Project può fornirti supporto nello strutturare ed erogare un programma di formazione dotato delle caratteristiche sopra elencate. Consulta il catalogo dei nostri corsi qui e, per ulteriori informazioni, contattaci.

A settembre 2024 in partenza la 58° edizione del corso Data Protection Officer che segue tutte le caratteristiche elencate precedentemente.

Fonti sanzioni:

• Tecnomed Trento s.r.l.

• Roma Capitale 

• Merlini s.r.l. 

• Sky Italia S.r.l. 

• Mas s.r.l.s.