Cosa inserire nelle istruzioni al personale? Fra accountability e best practices    L’articolo 29 del GDPR prevede l’obbligo, in capo ad enti ed imprese, di istruire tutti i soggetti che abbiano accesso a dati personali. In questo articolo abbiamo visto quali sono…

L’AI migliora l’efficienza del lavoro, ma è sempre necessaria una verifica    Secondo l'Osservatorio HR Innovation Practice del Politecnico di Milano, tre aziende su dieci utilizzano soluzioni di Intelligenza Artificiale (AI) per supportare i processi delle risorse umane. Queste soluzioni comprendono…

E-mail e metadati: le indicazioni definitive del Garante     Al termine di un iter oggetto di un’ampia discussione, il Garante per la protezione dei dati personali ha pubblicato il nuovo documento di indirizzo sui metadati. Seppure il provvedimento abbia…

Meta userà i tuoi dati per alimentare l’Intelligenza Artificiale: ti spieghiamo - step by step - come fare ad opporti Dal 26 giugno i dati personali di tutti gli utenti di Facebook e Instagram verranno utilizzati per addestrare i sistemi…

La gestione del tempo del DPO: un fattore critico per la conformità al GDPR Con la decisione 87/2024  pubblicata il 3 giugno ’24 l’Autorità per la protezione dei dati belga ha affrontato in dettaglio le responsabilità e le sfide dei…

GDPR: l’obbligo di istruire e formare il personale. Modalità e conseguenze in caso di non conformità Ai sensi del GDPR chiunque abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso dal titolare…

Come scrivere una nomina a responsabile del trattamento dei dati conforme al GDPR? Le indicazioni del Garante Da un provvedimento dell’Autorità Garante ricaviamo alcune importanti considerazioni su come sviluppare un contratto fra titolare e responsabile del trattamento che sia conforme…

Il Regolamento sull’IA è qui: quali obblighi per le aziende che utilizzano sistemi di Intelligenza Artificiale? In seguito all’accordo raggiunto con gli stati membri dell’UE, il Parlamento europeo ha approvato, lo scorso 13 marzo 2024, il Regolamento sull’Intelligenza Artificiale (IA).…

Come scrivere l’informativa privacy? Le accortezze per scrivere un’informativa veramente conforme   Il Regolamento UE in materia di protezione dei dati personali (GDPR), agli articoli 13 e 14, elenca una serie di elementi che devono necessariamente essere inclusi nell’informativa privacy. Basta…

È sempre necessario predisporre l’informativa privacy?   Il Regolamento europeo in materia di protezione dei dati personali (GDPR) prevede diverse eccezioni all’obbligo di predisporre e fornire l’informativa privacy agli interessati. Anche il Garante per la protezione dei dati personali ha emanato,…

Cosa inserire nelle istruzioni al personale?
Fra accountability e best practices

 
 
 

L’articolo 29 del GDPR prevede l’obbligo, in capo ad enti ed imprese, di istruire tutti i soggetti che abbiano accesso a dati personali. In questo articolo abbiamo visto quali sono le conseguenze in caso di non conformità alla norma e compreso come dovrebbe strutturarsi un programma di formazione. Nell’articolo di oggi vediamo, fra accountability e best practices, come formalizzare le istruzioni privacy da fornire al personale.

 
Refresh normativo

Per chi non masticasse privacy quotidianamente, ricordiamo che l’obbligo di istruire il personale è previsto dal Regolamento UE in materia di protezione dei dati personali (il GDPR), agli articoli 29 e 32 (par. 4). La norma dispone che chiunque agisca sotto l’autorità del titolare o del responsabile del trattamento dei dati – e abbia accesso a dati personali – non può trattare tali dati se non è istruito in tal senso dal titolare del trattamento. 

La ratio di questa previsione discende dal fatto che, sebbene le finalità e i mezzi del trattamento di dati personali siano definiti, a monte, dall’organizzazione che agisce in qualità di titolare del trattamento, le singole operazioni svolte sui dati personali vengono effettuate, a valle, dal personale. I sottoposti diventano, pertanto, parte sostanziale nel determinare la conformità dei trattamenti svolti dall’ente o dall’impresa.

 
Il problema delle fonti

Una volta compresa l’importanza dell’obbligo di istruire il personale è necessario definire come procedere (quali modalità preferire) e quali specifiche istruzioni fornire al personale. Purtroppo, né il Regolamento europeo, né il Codice privacy, ci vengono in aiuto in tal senso. Il vuoto normativo, in questo caso, non è colmato – nemmeno parzialmente – da apposite linee guida delle Autorità europee in materia di protezione di dati personali (l’EDPB in primis), né da specifiche indicazioni provenienti dalle varie Autorità di controllo nazionali. 

Stante il vuoto normativo, sorgono diversi interrogativi:

  1. Come fare a determinare cosa includere nelle istruzioni?
  2. Ci sono degli elementi cardine obbligatori che non possono mancare?
  3. Le istruzioni possono essere comunicate anche oralmente?

La formazione è obbligatoria?

 
5 step per la compliance

In merito all’ultimo interrogativo abbiamo approfondito la questione in questo articolo. In questa sede, pertanto, ci concentreremo sul rispondere alle altre principali domande frequenti.

Per prima cosa va fatta una premessa: l’articolo 29 rappresenta una delle massime espressioni dell’accountability, principio che permea tutto il GDPR. Questo significa che spetta al titolare del trattamento l’onere di valutare i rischi relativi ai trattamenti svolti e di fornire istruzioni mirate, che siano in grado, quantomeno, di mitigare i rischi individuati. Ciò premesso, 5 step possono aiutare enti ed imprese in questa operazione.

 

  1. Individuare i profili da istruire

Il primo step è circoscrivere l’ambito di applicazione della norma, individuando i soggetti che hanno “accesso a dati personali” all’interno dell’organizzazione. Tali soggetti dovranno essere adeguatamente istruiti, affinché i trattamenti a questi affidati vengano svolti:

  1. in modo lecito e conforme al GDPR;
  2. in modo da garantire la sicurezza dei dati.

È bene che, in questa fase, venga svolta una preliminare ricognizione completa dei trattamenti svolti da tali soggetti, nell’esecuzione delle mansioni a questi assegnate.

 

  1. Valutare i rischi del trattamento svolto

Per comprendere come istruire adeguatamente i soggetti individuati nella prima fase, come anticipato, risulta essenziale effettuare una ricognizione dei trattamenti da questi svolti e quantificare il livello di rischio per i diritti e le libertà delle persone fisiche.

Si ricorda che, ai sensi del considerando 83 al GDPR, “nella valutazione del rischio per la sicurezza dei dati è opportuno tenere in considerazione i rischi presentati dal trattamento dei dati personali, come la distruzione accidentale o illegale, la perdita, la modifica, la rivelazione o l’accesso non autorizzati a dati personali trasmessi, conservati o comunque elaborati, che potrebbero cagionare in particolare un danno fisico, materiale o immateriale”. All’atto pratico, si tratta di stimare l’impatto sugli interessati delle specifiche minacce rilevate e le probabilità che le stesse si concretizzino (Rischio = Impatto x Probabilità).

In base all’esito della valutazione dei rischi, il titolare del trattamento sarà in grado:

  1. di determinare le modalità migliori per fornire le istruzioni e
  2. di definirne il contenuto (step successivi).

 

  1. Individuare le migliori modalità per fornire le istruzioni

La scelta delle modalità per veicolare le istruzioni al personale dovrebbe essere effettuata avendo ben presente il livello di rischio intrinseco ai trattamenti svolti dal soggetto da istruire, considerando, al contempo, l’esigenza di documentabilità – esigenza che, di fatto, esclude la possibilità di fornire istruzioni oralmente.

 

Le istruzioni potranno quindi consistere in:

  1. un vademecum sul trattamento dei dati personali in azienda – in caso, ad esempio, di realtà produttive che gestiscono minime quantità di dati personali;
  2. un compendio o libretto formativo da distribuire al personale;
  3. delle istruzioni specifiche sul trattamento dei dati, personalizzate in base alla mansione del soggetto da autorizzare e ai trattamenti a questi affidati;
  4. un corso breve e-learning accessibile in qualsiasi momento;
  5. un corso di formazione più strutturato.

Le misure sopra indicate:

  • rappresentano un esempio non esaustivo, nulla osta al titolare del trattamento di individuare altre modalità per l’erogazione delle istruzioni funzionali al trattamento dei dati;
  • non sono alternative e, anzi, dovrebbero idealmente sommarsi, in modo da massimizzare i risultati attesi;
  • dovrebbero abbinarsi ad un piano di verifica delle competenze acquisite, in modo da poter dimostrare non solo di aver fornito le istruzioni, ma anche che le stesse sono state, effettivamente, comprese.

 

  1. Autorizzare al trattamento

Giungiamo quindi al contenuto delle istruzioni da fornire al personale. In primo luogo, le istruzioni dovrebbero includere l’attribuzione al personale di specifici compiti e funzioni – connessi al trattamento di dati personali. Questo è quanto previsto dall’articolo 2 quaterdecies del Codice Privacy. Ciò significa, all’atto pratico, andare a formalizzare per iscritto l’autorizzazione allo svolgimento di specifici trattamenti, in funzione dello specifico profilo / mansione del sottoposto.

L’attribuzione di compiti e funzioni – connessi al trattamento di dati personali – a soggetti designati dovrebbe, quindi, abbinarsi alle istruzioni fornite ai sensi dell’articolo 29 del GDPR (anche nell’ottica di trasparenza e accessibilità delle informazioni da veicolare al personale).

 

  1. Istruire al trattamento

Lo step finale consiste nel definire le specifiche istruzioni da fornire, in modo che siano pertinenti rispetto al profilo del soggetto autorizzato e alla mansione svolta, adeguate a garantire la conformità al GDPR e la sicurezza dei trattamenti. Chiaramente, in base alla modalità di erogazione delle istruzioni, il contenuto potrà consistere in paragrafi, capitoli o slide, che avranno ad oggetto temi mirati da attenzionare.

Ad esempio,

  1. chi gestisce i dati del personale deve sapere cosa sono i dati particolari, cosa prevede l’articolo 9 del GDPR e l’autorizzazione 1/2016 del Garante per la protezione dei dati personali, quali norme dello Statuto dei Lavoratori disciplinano i controlli a distanza svolti, etc.
  2. chi seleziona i candidati deve sapere cosa prevede l’articolo 111 bis del Codice ed i concetti chiave espressi nelle principali linee guida applicabili ai trattamenti svolti in questa fase;
  3. chi si interfaccia con i fornitori deve saper riconoscere i ruoli privacy, conoscere l’articolo 28 del GDPR ed i concetti chiave espressi nelle principali linee guida applicabili ai trattamenti svolti in questa fase;
  4. chi si occupa di marketing deve sapere come svolgere tale attività in modo conforme al Regolamento e quindi conoscere molto bene, fra le altre, le “Linee guida in materia di attività promozionale e contrasto allo spam” del Garante;
  5. chi gestisce l’infrastruttura IT deve sapere cosa prevede l’articolo 32 del GDPR e quali sono le migliori prassi in materia;

 

infine, chi gestisce gli affari legali e la conformità normativa all’interno dell’organizzazione deve avere una visione completa di tutte le norme privacy e degli adempimenti da porre in essere per la compliance al GDPR.

 
Fra accountability e best practices

Gli step sopra riportati costituiscono una base di partenza utile a supportare i titolari del trattamento nello sviluppo di istruzioni funzionali pertinenti, adeguate e conformi a quanto richiesto dal GDPR. Detto ciò, la carenza di indicazioni normative puntuali in merito al contenuto delle istruzioni, impone ad enti ed imprese di fare affidamento sul principio di accountability e sulle migliori prassi in materia.

Ne deriva che, per assicurarsi la compliance al Regolamento, è essenziale l’esperienza sul campo e la conoscenza dei provvedimenti in materia, anche sanzionatori. Contattaci per ulteriori informazioni, per aiutarti a predisporre le istruzioni privacy al personale o per strutturare un piano formativo personalizzato.

 

 

Follow us on
Our Gallery