Meta userà i tuoi dati per alimentare l’Intelligenza Artificiale: ti spieghiamo - step by step - come fare ad opporti   Dal 26 giugno i dati personali di tutti gli utenti di Facebook e Instagram verranno utilizzati per addestrare i sistemi…

La gestione del tempo del DPO: un fattore critico per la conformità al GDPR    Con la decisione 87/2024  pubblicata il 3 giugno ’24 l’Autorità per la protezione dei dati belga ha affrontato in dettaglio le responsabilità e le sfide dei…

GDPR: l’obbligo di istruire e formare il personale. Modalità e conseguenze in caso di non conformità   Ai sensi del GDPR chiunque abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso dal titolare…

Come scrivere una nomina a responsabile del trattamento dei dati conforme al GDPR? Le indicazioni del Garante   Da un provvedimento dell’Autorità Garante ricaviamo alcune importanti considerazioni su come sviluppare un contratto fra titolare e responsabile del trattamento che sia conforme…

Il Regolamento sull’IA è qui: quali obblighi per le aziende che utilizzano sistemi di Intelligenza Artificiale?   In seguito all’accordo raggiunto con gli stati membri dell’UE, il Parlamento europeo ha approvato, lo scorso 13 marzo 2024, il Regolamento sull’Intelligenza Artificiale (IA).…

Come scrivere l’informativa privacy? Le accortezze per scrivere un’informativa veramente conforme   Il Regolamento UE in materia di protezione dei dati personali (GDPR), agli articoli 13 e 14, elenca una serie di elementi che devono necessariamente essere inclusi nell’informativa privacy. Basta…

È sempre necessario predisporre l’informativa privacy?   Il Regolamento europeo in materia di protezione dei dati personali (GDPR) prevede diverse eccezioni all’obbligo di predisporre e fornire l’informativa privacy agli interessati. Anche il Garante per la protezione dei dati personali ha emanato,…

Garante privacy: differita l’efficacia del documento di indirizzo sui metadati.Quando gli obblighi previsti diverranno applicabili?    A pochi giorni di distanza dal comunicato con cui il Garante diffondeva il “Documento di indirizzo sulla conservazione dei metadati”, la stessa Autorità ha deciso…

Con chi si interfaccia il DPO e con quali modalità? I risultati del CEF 2023    Dall’indagine condotta dalle Autorità europee sul ruolo del DPO (il CEF 2023, ne abbiamo parlato qui), sono emersi alcuni dati preoccupanti: spesso i Responsabili della…

Nuova Linea di Indirizzo del Garante per la Protezione dei Dati sul Trattamento dei metadati e mail nelle aziende    Il Garante per la protezione dei dati personali ha recentemente introdotto una nuova linea di indirizzo che riguardano la gestione dei…

GDPR: l’obbligo di istruire e formare il personale. Modalità e conseguenze in caso di non conformità

 
 

Ai sensi del GDPR chiunque abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso dal titolare del trattamento. L’inosservanza di questa previsione normativa determina gravi sanzioni in capo a enti ed imprese: lo testimoniano le molteplici ordinanze di ingiunzione comminate dal Garante negli ultimi anni.

Quali sono, quindi, le migliori modalità per adempiere all’obbligo di istruire il personale? Cosa prevede il Regolamento?

 
 
L’articolo 29 del GDPR come espressione del principio di accountability

L’articolo 29 del GDPR, intitolato “Trattamento sotto l’autorità del titolare o del responsabile” sancisce l’obbligo di istruire adeguatamente tutti i soggetti che, agendo sotto l’autorità del titolare o del responsabile del trattamento, abbiano accesso a dati personali.

Per quanto la disposizione in esame possa sembrare, a prima vista, di limitata rilevanza – soprattutto se paragonata agli altri, inediti, adempimenti introdotti dal GDPR – in realtà rappresenta un pilastro fondamentale del Regolamento, in quanto espressione diretta del principio di accountability. In ottemperanza a tale principio, infatti, il titolare del trattamento ha l’onere di adottare misure tecniche ed organizzative, che, secondo una valutazione basata sul rischio in relazione al caso concreto, garantiscano la conformità alle norme in materia di protezione dei dati personali. Al tempo stesso, devono essere implementate misure in grado di assicurare la sicurezza dei trattamenti svolti (tant’è che l’obbligo di istruire il personale è richiamato anche all’articolo 32, “Sicurezza del trattamento”). Fra le misure da attuare, pertanto, devono necessariamente essere ricomprese le istruzioni da fornire ai sottoposti.

 

La ratio della norma

Quanto premesso ci consente di delineare lo scopo della norma e – conseguentemente – delle istruzioni da fornire:

  • Garantire la conformità alle norme privacy;
  • Dimostrare la conformità alle norme privacy;
  • Garantire la sicurezza dei trattamenti svolti;
  • Delineare nettamente i ruoli privacy e le correlate responsabilità assumibili;
  • Prevenire il verificarsi di violazioni dei dati trattati;
  • Tutelare i diritti e le libertà degli interessati.

I soggetti istruiti diventano, a tutti gli effetti, parte sostanziale della struttura organizzativa del titolare o del responsabile del trattamento e, come tali, partecipano in prima fila nell’assicurare la liceità delle operazioni di trattamento svolte dall’organizzazione.

 
Le conseguenze in caso di violazione: case study

È facile comprendere, quindi, la ragione per cui l’inosservanza dell’obbligo di fornire le istruzioni sia ricompresa fra le disposizioni per la cui violazione è comminata una sanzione amministrativa pecuniaria fino a 10 000 000 EUR, o per le imprese, fino al 2 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.

Fra le Autorità di controllo europee il nostro Garante per la protezione dei dati personali è stato particolarmente attivo, negli ultimi anni, nel richiamare enti ed imprese al rispetto dell’articolo 29 del GDPR.

  • Nel corso del 2022 il Garante ha sanzionato Tecnomed Trento s.r.l., per un importo pari a 10.000 euro. La società aveva messo in funzione diverse telecamere di videosorveglianza, alcune delle quali senza la necessaria autorizzazione. Inoltre, tre persone abilitate all’accesso alle immagini registrate utilizzavano credenziali condivise e solo una di queste era stata istruita al trattamento, in violazione dell’articolo 29 GDPR;
  • Nel mese di giugno 2023 l’Autorità ha comminato due sanzioni, per un importo complessivo superiore a 400 mila euro, a Roma Capitale e Ama S.p.a., per aver diffuso i dati delle donne che avevano affrontato un’interruzione di gravidanza. In particolare, nel corso dell’istruttoria è emerso che Roma Capitale non aveva impartito ad Ama S.p.a. alcuna istruzione specifica sul trattamento dei dati personali ma solo indicazioni inerenti alla regolamentazione e gestione dei servizi cimiteriali affidati in gestione.
 
Il settore del telemarketing

Diverse sanzioni, inoltre, sono state comminate dal Garante nel settore del telemarketing. Ad accomunare i provvedimenti sanzionatori la carente gestione dei ruoli privacy – e dei trattamenti effettuati – lungo tutta la filiera di soggetti a vario titolo coinvolti (partner commerciali, agenzie promozionali, call center, etc.).

In tale contesto l’Autorità ha rilevato, in molteplici occasioni, la mancanza di sufficienti accordi contrattuali oppure la presenza di “un sistema di distribuzione delle responsabilità in ambito privacy fittizio, meramente formalistico”.

Ricordiamo i seguenti casi:

  • Ordinanza ingiunzione nei confronti di Merlini s.r.l. – 9 luglio 2020 | 200.000 euro;
  • Ordinanza ingiunzione nei confronti di Sky Italia S.r.l. – 16 settembre 2021| 3.200.000 euro;
  • Ordinanze di ingiunzione nei confronti di Mas s.r.l.s., Mas s.r.l., Sesta Impresa s.r.l., Arnia società cooperativa – 13 aprile 2023 | rispettivamente: 200.000, 500.000, 300.000, 800.000 euro.

 

Come evitare di incorrere in sanzioni? Definire le istruzioni privacy

L’articolo 29 GDPR non esplicita come fornire le istruzioni ai sottoposti, né formalizza il contenuto sostanziale delle istruzioni. Un aspetto non di poco conto, in considerazione del fatto che, dal contenuto delle istruzioni, discende la concreta efficacia delle misure adottate. In linea di principio, le istruzioni dovranno essere definite seguendo una serie di specifici parametri di riferimento, fra cui le funzioni esercitate dal destinatario, le operazioni di trattamento affidate allo stesso, la tipologia di dati trattati, il rischio derivante dal trattamento svolto, etc.

Stante il vuoto normativo, questa fase risulta particolarmente complessa e necessita, quindi, della valutazione di esperti a conoscenza delle migliori prassi in materia.

 

Come evitare di incorrere in sanzioni? Veicolare le istruzioni privacy

Una volta determinato il contenuto essenziale delle istruzioni, il titolare del trattamento è tenuto a decidere quali modalità risultano più efficaci per veicolarle ai sottoposti. A riguardo, occorre tener presente l’esigenza di documentabilità derivante dal sopracitato principio di accountability: le misure adottate devono anche consentire al titolare di dimostrare la conformità. 

Per tale ragione, l’organizzazione potrà decidere di:

  • formalizzare le istruzioni all’interno del documento di autorizzazione al trattamento dei soggetti designati (previsto dall’articolo 2 quaterdecies del Codice Privacy), da far sottoscrivere per accettazione e presa visione;
  • sviluppare un programma di formazione.

 

La formazione: non solo un obbligo

La formazione rappresenta la soluzione più efficace per conformarsi alle norme: se abbinata a test di verifica delle competenze acquisite consente al titolare di dimostrare l’effettiva comprensione, da parte dei destinatari, delle istruzioni fornite. Al tempo stesso, l’attività di formazione rappresenta anche un’opportunità importante da non lasciarsi sfuggire, sia per la crescita professionale di tutti i soggetti partecipanti, sia per la valorizzazione dell’organizzazione nei confronti dei vari stakeholders. Pensiamo, ad esempio, a clienti che richiedono garanzie privacy come criterio di scelta dei fornitori, anche ai fini della rendicontazione di sostenibilità (ne abbiamo parlato qui).

 

Come strutturare il programma di formazione

Il programma di formazione dovrebbe avere le seguenti caratteristiche:

  • mirato alle specifiche categorie di soggetti destinatari (se i partecipanti fanno parte della funzione marketing, ad esempio, sarà opportuno fornire loro istruzioni integrative in materia di contrasto allo spam; se i partecipanti fanno parte della funzione HR sarà opportuno fornire loro istruzioni specifiche sul trattamento dei dati particolari; etc.);
  • erogato e rilasciato da soggetti accreditati per i servizi di istruzione e formazione professionale;
  • I docenti dovrebbero fornire adeguate garanzie ed essere in possesso di certificazioni che ne attestino professionalità, competenze ed esperienza sul campo;
  • Il corso dovrebbe essere comprensivo di questionari, esercitazioni e test, con rilascio di attestati finali a riprova delle competenze acquisite dai partecipanti;
  • Il programma di formazione dovrebbe prevedere un aggiornamento periodico, contestualmente alla verifica del perdurare delle competenze acquisite dai partecipanti.

 

Labor Project può fornirti supporto nello strutturare ed erogare un programma di formazione dotato delle caratteristiche sopra elencate. Consulta il catalogo dei nostri corsi qui e, per ulteriori informazioni, contattaci.

A settembre 2024 in partenza la 58° edizione del corso Data Protection Officer che segue tutte le caratteristiche elencate precedentemente.

 

Fonti sanzioni:

Follow us on
Our Gallery