La compliance al GDPR: costo o investimento? In una recente pubblicazione, la Commissione francese per la protezione dei dati (CNIL) ha esaminato l’impatto economico dell’adeguamento al GDPR su enti ed imprese. Dalla valutazione condotta sono emersi sia i benefici, in…

Mancata nomina di un responsabile: quali conseguenze e sanzioni? In seguito ad un reclamo per la pubblicazione di una graduatoria online da parte di un Comune, il Garante ha rilevato l’omessa regolamentazione dei ruoli privacy, in relazione alle funzioni affidate…

Come si realizza una DPIA su un sistema di Intelligenza Artificiale? La guida dell’ICO Lo scorso 19 giugno l’Information Commissioner's Office (“ICO”), Autorità Garante inglese per la protezione dei dati, ha pubblicato la decisione sul caso “My AI”, il chatbot…

Il Garante pubblica la relazione annuale. Cosa ci insegna il 2023? Spunti per il futuro    L’ultima relazione annuale del Garante per la protezione dei dati personali presenta delle peculiarità importanti. Oltre alla consueta sintesi dell’attività svolta dall’Autorità durante lo scorso…

Cosa inserire nelle istruzioni al personale? Fra accountability e best practices    L’articolo 29 del GDPR prevede l’obbligo, in capo ad enti ed imprese, di istruire tutti i soggetti che abbiano accesso a dati personali. In questo articolo abbiamo visto quali sono…

L’AI migliora l’efficienza del lavoro, ma è sempre necessaria una verifica    Secondo l'Osservatorio HR Innovation Practice del Politecnico di Milano, tre aziende su dieci utilizzano soluzioni di Intelligenza Artificiale (AI) per supportare i processi delle risorse umane. Queste soluzioni comprendono…

E-mail e metadati: le indicazioni definitive del Garante     Al termine di un iter oggetto di un’ampia discussione, il Garante per la protezione dei dati personali ha pubblicato il nuovo documento di indirizzo sui metadati. Seppure il provvedimento abbia…

Meta userà i tuoi dati per alimentare l’Intelligenza Artificiale: ti spieghiamo - step by step - come fare ad opporti Dal 26 giugno i dati personali di tutti gli utenti di Facebook e Instagram verranno utilizzati per addestrare i sistemi…

La gestione del tempo del DPO: un fattore critico per la conformità al GDPR Con la decisione 87/2024  pubblicata il 3 giugno ’24 l’Autorità per la protezione dei dati belga ha affrontato in dettaglio le responsabilità e le sfide dei…

GDPR: l’obbligo di istruire e formare il personale. Modalità e conseguenze in caso di non conformità Ai sensi del GDPR chiunque abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso dal titolare…

GDPR: l’obbligo di istruire e formare il personale. Modalità e conseguenze in caso di non conformità

 
 

Ai sensi del GDPR chiunque abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso dal titolare del trattamento. L’inosservanza di questa previsione normativa determina gravi sanzioni in capo a enti ed imprese: lo testimoniano le molteplici ordinanze di ingiunzione comminate dal Garante negli ultimi anni.

Quali sono, quindi, le migliori modalità per adempiere all’obbligo di istruire il personale? Cosa prevede il Regolamento?

 
 
L’articolo 29 del GDPR come espressione del principio di accountability

L’articolo 29 del GDPR, intitolato “Trattamento sotto l’autorità del titolare o del responsabile” sancisce l’obbligo di istruire adeguatamente tutti i soggetti che, agendo sotto l’autorità del titolare o del responsabile del trattamento, abbiano accesso a dati personali.

Per quanto la disposizione in esame possa sembrare, a prima vista, di limitata rilevanza – soprattutto se paragonata agli altri, inediti, adempimenti introdotti dal GDPR – in realtà rappresenta un pilastro fondamentale del Regolamento, in quanto espressione diretta del principio di accountability. In ottemperanza a tale principio, infatti, il titolare del trattamento ha l’onere di adottare misure tecniche ed organizzative, che, secondo una valutazione basata sul rischio in relazione al caso concreto, garantiscano la conformità alle norme in materia di protezione dei dati personali. Al tempo stesso, devono essere implementate misure in grado di assicurare la sicurezza dei trattamenti svolti (tant’è che l’obbligo di istruire il personale è richiamato anche all’articolo 32, “Sicurezza del trattamento”). Fra le misure da attuare, pertanto, devono necessariamente essere ricomprese le istruzioni da fornire ai sottoposti.

 

La ratio della norma

Quanto premesso ci consente di delineare lo scopo della norma e – conseguentemente – delle istruzioni da fornire:

  • Garantire la conformità alle norme privacy;
  • Dimostrare la conformità alle norme privacy;
  • Garantire la sicurezza dei trattamenti svolti;
  • Delineare nettamente i ruoli privacy e le correlate responsabilità assumibili;
  • Prevenire il verificarsi di violazioni dei dati trattati;
  • Tutelare i diritti e le libertà degli interessati.

I soggetti istruiti diventano, a tutti gli effetti, parte sostanziale della struttura organizzativa del titolare o del responsabile del trattamento e, come tali, partecipano in prima fila nell’assicurare la liceità delle operazioni di trattamento svolte dall’organizzazione.

 
Le conseguenze in caso di violazione: case study

È facile comprendere, quindi, la ragione per cui l’inosservanza dell’obbligo di fornire le istruzioni sia ricompresa fra le disposizioni per la cui violazione è comminata una sanzione amministrativa pecuniaria fino a 10 000 000 EUR, o per le imprese, fino al 2 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.

Fra le Autorità di controllo europee il nostro Garante per la protezione dei dati personali è stato particolarmente attivo, negli ultimi anni, nel richiamare enti ed imprese al rispetto dell’articolo 29 del GDPR.

  • Nel corso del 2022 il Garante ha sanzionato Tecnomed Trento s.r.l., per un importo pari a 10.000 euro. La società aveva messo in funzione diverse telecamere di videosorveglianza, alcune delle quali senza la necessaria autorizzazione. Inoltre, tre persone abilitate all’accesso alle immagini registrate utilizzavano credenziali condivise e solo una di queste era stata istruita al trattamento, in violazione dell’articolo 29 GDPR;
  • Nel mese di giugno 2023 l’Autorità ha comminato due sanzioni, per un importo complessivo superiore a 400 mila euro, a Roma Capitale e Ama S.p.a., per aver diffuso i dati delle donne che avevano affrontato un’interruzione di gravidanza. In particolare, nel corso dell’istruttoria è emerso che Roma Capitale non aveva impartito ad Ama S.p.a. alcuna istruzione specifica sul trattamento dei dati personali ma solo indicazioni inerenti alla regolamentazione e gestione dei servizi cimiteriali affidati in gestione.
 
Il settore del telemarketing

Diverse sanzioni, inoltre, sono state comminate dal Garante nel settore del telemarketing. Ad accomunare i provvedimenti sanzionatori la carente gestione dei ruoli privacy – e dei trattamenti effettuati – lungo tutta la filiera di soggetti a vario titolo coinvolti (partner commerciali, agenzie promozionali, call center, etc.).

In tale contesto l’Autorità ha rilevato, in molteplici occasioni, la mancanza di sufficienti accordi contrattuali oppure la presenza di “un sistema di distribuzione delle responsabilità in ambito privacy fittizio, meramente formalistico”.

Ricordiamo i seguenti casi:

  • Ordinanza ingiunzione nei confronti di Merlini s.r.l. – 9 luglio 2020 | 200.000 euro;
  • Ordinanza ingiunzione nei confronti di Sky Italia S.r.l. – 16 settembre 2021| 3.200.000 euro;
  • Ordinanze di ingiunzione nei confronti di Mas s.r.l.s., Mas s.r.l., Sesta Impresa s.r.l., Arnia società cooperativa – 13 aprile 2023 | rispettivamente: 200.000, 500.000, 300.000, 800.000 euro.

 

Come evitare di incorrere in sanzioni? Definire le istruzioni privacy

L’articolo 29 GDPR non esplicita come fornire le istruzioni ai sottoposti, né formalizza il contenuto sostanziale delle istruzioni. Un aspetto non di poco conto, in considerazione del fatto che, dal contenuto delle istruzioni, discende la concreta efficacia delle misure adottate. In linea di principio, le istruzioni dovranno essere definite seguendo una serie di specifici parametri di riferimento, fra cui le funzioni esercitate dal destinatario, le operazioni di trattamento affidate allo stesso, la tipologia di dati trattati, il rischio derivante dal trattamento svolto, etc.

Stante il vuoto normativo, questa fase risulta particolarmente complessa e necessita, quindi, della valutazione di esperti a conoscenza delle migliori prassi in materia.

 

Come evitare di incorrere in sanzioni? Veicolare le istruzioni privacy

Una volta determinato il contenuto essenziale delle istruzioni, il titolare del trattamento è tenuto a decidere quali modalità risultano più efficaci per veicolarle ai sottoposti. A riguardo, occorre tener presente l’esigenza di documentabilità derivante dal sopracitato principio di accountability: le misure adottate devono anche consentire al titolare di dimostrare la conformità. 

Per tale ragione, l’organizzazione potrà decidere di:

  • formalizzare le istruzioni all’interno del documento di autorizzazione al trattamento dei soggetti designati (previsto dall’articolo 2 quaterdecies del Codice Privacy), da far sottoscrivere per accettazione e presa visione;
  • sviluppare un programma di formazione.

 

La formazione: non solo un obbligo

La formazione rappresenta la soluzione più efficace per conformarsi alle norme: se abbinata a test di verifica delle competenze acquisite consente al titolare di dimostrare l’effettiva comprensione, da parte dei destinatari, delle istruzioni fornite. Al tempo stesso, l’attività di formazione rappresenta anche un’opportunità importante da non lasciarsi sfuggire, sia per la crescita professionale di tutti i soggetti partecipanti, sia per la valorizzazione dell’organizzazione nei confronti dei vari stakeholders. Pensiamo, ad esempio, a clienti che richiedono garanzie privacy come criterio di scelta dei fornitori, anche ai fini della rendicontazione di sostenibilità (ne abbiamo parlato qui).

 

Come strutturare il programma di formazione

Il programma di formazione dovrebbe avere le seguenti caratteristiche:

  • mirato alle specifiche categorie di soggetti destinatari (se i partecipanti fanno parte della funzione marketing, ad esempio, sarà opportuno fornire loro istruzioni integrative in materia di contrasto allo spam; se i partecipanti fanno parte della funzione HR sarà opportuno fornire loro istruzioni specifiche sul trattamento dei dati particolari; etc.);
  • erogato e rilasciato da soggetti accreditati per i servizi di istruzione e formazione professionale;
  • I docenti dovrebbero fornire adeguate garanzie ed essere in possesso di certificazioni che ne attestino professionalità, competenze ed esperienza sul campo;
  • Il corso dovrebbe essere comprensivo di questionari, esercitazioni e test, con rilascio di attestati finali a riprova delle competenze acquisite dai partecipanti;
  • Il programma di formazione dovrebbe prevedere un aggiornamento periodico, contestualmente alla verifica del perdurare delle competenze acquisite dai partecipanti.

 

Labor Project può fornirti supporto nello strutturare ed erogare un programma di formazione dotato delle caratteristiche sopra elencate. Consulta il catalogo dei nostri corsi qui e, per ulteriori informazioni, contattaci.

A settembre 2024 in partenza la 58° edizione del corso Data Protection Officer che segue tutte le caratteristiche elencate precedentemente.

 

Fonti sanzioni:

Follow us on
Our Gallery