Cosa inserire nelle istruzioni al personale?
Fra accountability e best practices
L’articolo 29 del GDPR prevede l’obbligo, in capo ad enti ed imprese, di istruire tutti i soggetti che abbiano accesso a dati personali. In questo articolo abbiamo visto quali sono le conseguenze in caso di non conformità alla norma e compreso come dovrebbe strutturarsi un programma di formazione. Nell’articolo di oggi vediamo, fra accountability e best practices, come formalizzare le istruzioni privacy da fornire al personale.
Refresh normativo
Per chi non masticasse privacy quotidianamente, ricordiamo che l’obbligo di istruire il personale è previsto dal Regolamento UE in materia di protezione dei dati personali (il GDPR), agli articoli 29 e 32 (par. 4). La norma dispone che chiunque agisca sotto l’autorità del titolare o del responsabile del trattamento dei dati – e abbia accesso a dati personali – non può trattare tali dati se non è istruito in tal senso dal titolare del trattamento.
La ratio di questa previsione discende dal fatto che, sebbene le finalità e i mezzi del trattamento di dati personali siano definiti, a monte, dall’organizzazione che agisce in qualità di titolare del trattamento, le singole operazioni svolte sui dati personali vengono effettuate, a valle, dal personale. I sottoposti diventano, pertanto, parte sostanziale nel determinare la conformità dei trattamenti svolti dall’ente o dall’impresa.
Il problema delle fonti
Una volta compresa l’importanza dell’obbligo di istruire il personale è necessario definire come procedere (quali modalità preferire) e quali specifiche istruzioni fornire al personale. Purtroppo, né il Regolamento europeo, né il Codice privacy, ci vengono in aiuto in tal senso. Il vuoto normativo, in questo caso, non è colmato – nemmeno parzialmente – da apposite linee guida delle Autorità europee in materia di protezione di dati personali (l’EDPB in primis), né da specifiche indicazioni provenienti dalle varie Autorità di controllo nazionali.
Stante il vuoto normativo, sorgono diversi interrogativi:
- Come fare a determinare cosa includere nelle istruzioni?
- Ci sono degli elementi cardine obbligatori che non possono mancare?
- Le istruzioni possono essere comunicate anche oralmente?
La formazione è obbligatoria?
5 step per la compliance
In merito all’ultimo interrogativo abbiamo approfondito la questione in questo articolo. In questa sede, pertanto, ci concentreremo sul rispondere alle altre principali domande frequenti.
Per prima cosa va fatta una premessa: l’articolo 29 rappresenta una delle massime espressioni dell’accountability, principio che permea tutto il GDPR. Questo significa che spetta al titolare del trattamento l’onere di valutare i rischi relativi ai trattamenti svolti e di fornire istruzioni mirate, che siano in grado, quantomeno, di mitigare i rischi individuati. Ciò premesso, 5 step possono aiutare enti ed imprese in questa operazione.
- Individuare i profili da istruire
Il primo step è circoscrivere l’ambito di applicazione della norma, individuando i soggetti che hanno “accesso a dati personali” all’interno dell’organizzazione. Tali soggetti dovranno essere adeguatamente istruiti, affinché i trattamenti a questi affidati vengano svolti:
- in modo lecito e conforme al GDPR;
- in modo da garantire la sicurezza dei dati.
È bene che, in questa fase, venga svolta una preliminare ricognizione completa dei trattamenti svolti da tali soggetti, nell’esecuzione delle mansioni a questi assegnate.
- Valutare i rischi del trattamento svolto
Per comprendere come istruire adeguatamente i soggetti individuati nella prima fase, come anticipato, risulta essenziale effettuare una ricognizione dei trattamenti da questi svolti e quantificare il livello di rischio per i diritti e le libertà delle persone fisiche.
Si ricorda che, ai sensi del considerando 83 al GDPR, “nella valutazione del rischio per la sicurezza dei dati è opportuno tenere in considerazione i rischi presentati dal trattamento dei dati personali, come la distruzione accidentale o illegale, la perdita, la modifica, la rivelazione o l’accesso non autorizzati a dati personali trasmessi, conservati o comunque elaborati, che potrebbero cagionare in particolare un danno fisico, materiale o immateriale”. All’atto pratico, si tratta di stimare l’impatto sugli interessati delle specifiche minacce rilevate e le probabilità che le stesse si concretizzino (Rischio = Impatto x Probabilità).
In base all’esito della valutazione dei rischi, il titolare del trattamento sarà in grado:
- di determinare le modalità migliori per fornire le istruzioni e
- di definirne il contenuto (step successivi).
- Individuare le migliori modalità per fornire le istruzioni
La scelta delle modalità per veicolare le istruzioni al personale dovrebbe essere effettuata avendo ben presente il livello di rischio intrinseco ai trattamenti svolti dal soggetto da istruire, considerando, al contempo, l’esigenza di documentabilità – esigenza che, di fatto, esclude la possibilità di fornire istruzioni oralmente.
Le istruzioni potranno quindi consistere in:
- un vademecum sul trattamento dei dati personali in azienda – in caso, ad esempio, di realtà produttive che gestiscono minime quantità di dati personali;
- un compendio o libretto formativo da distribuire al personale;
- delle istruzioni specifiche sul trattamento dei dati, personalizzate in base alla mansione del soggetto da autorizzare e ai trattamenti a questi affidati;
- un corso breve e-learning accessibile in qualsiasi momento;
- un corso di formazione più strutturato.
Le misure sopra indicate:
- rappresentano un esempio non esaustivo, nulla osta al titolare del trattamento di individuare altre modalità per l’erogazione delle istruzioni funzionali al trattamento dei dati;
- non sono alternative e, anzi, dovrebbero idealmente sommarsi, in modo da massimizzare i risultati attesi;
- dovrebbero abbinarsi ad un piano di verifica delle competenze acquisite, in modo da poter dimostrare non solo di aver fornito le istruzioni, ma anche che le stesse sono state, effettivamente, comprese.
- Autorizzare al trattamento
Giungiamo quindi al contenuto delle istruzioni da fornire al personale. In primo luogo, le istruzioni dovrebbero includere l’attribuzione al personale di specifici compiti e funzioni – connessi al trattamento di dati personali. Questo è quanto previsto dall’articolo 2 quaterdecies del Codice Privacy. Ciò significa, all’atto pratico, andare a formalizzare per iscritto l’autorizzazione allo svolgimento di specifici trattamenti, in funzione dello specifico profilo / mansione del sottoposto.
L’attribuzione di compiti e funzioni – connessi al trattamento di dati personali – a soggetti designati dovrebbe, quindi, abbinarsi alle istruzioni fornite ai sensi dell’articolo 29 del GDPR (anche nell’ottica di trasparenza e accessibilità delle informazioni da veicolare al personale).
- Istruire al trattamento
Lo step finale consiste nel definire le specifiche istruzioni da fornire, in modo che siano pertinenti rispetto al profilo del soggetto autorizzato e alla mansione svolta, adeguate a garantire la conformità al GDPR e la sicurezza dei trattamenti. Chiaramente, in base alla modalità di erogazione delle istruzioni, il contenuto potrà consistere in paragrafi, capitoli o slide, che avranno ad oggetto temi mirati da attenzionare.
Ad esempio,
- chi gestisce i dati del personale deve sapere cosa sono i dati particolari, cosa prevede l’articolo 9 del GDPR e l’autorizzazione 1/2016 del Garante per la protezione dei dati personali, quali norme dello Statuto dei Lavoratori disciplinano i controlli a distanza svolti, etc.
- chi seleziona i candidati deve sapere cosa prevede l’articolo 111 bis del Codice ed i concetti chiave espressi nelle principali linee guida applicabili ai trattamenti svolti in questa fase;
- chi si interfaccia con i fornitori deve saper riconoscere i ruoli privacy, conoscere l’articolo 28 del GDPR ed i concetti chiave espressi nelle principali linee guida applicabili ai trattamenti svolti in questa fase;
- chi si occupa di marketing deve sapere come svolgere tale attività in modo conforme al Regolamento e quindi conoscere molto bene, fra le altre, le “Linee guida in materia di attività promozionale e contrasto allo spam” del Garante;
- chi gestisce l’infrastruttura IT deve sapere cosa prevede l’articolo 32 del GDPR e quali sono le migliori prassi in materia;
infine, chi gestisce gli affari legali e la conformità normativa all’interno dell’organizzazione deve avere una visione completa di tutte le norme privacy e degli adempimenti da porre in essere per la compliance al GDPR.
Fra accountability e best practices
Gli step sopra riportati costituiscono una base di partenza utile a supportare i titolari del trattamento nello sviluppo di istruzioni funzionali pertinenti, adeguate e conformi a quanto richiesto dal GDPR. Detto ciò, la carenza di indicazioni normative puntuali in merito al contenuto delle istruzioni, impone ad enti ed imprese di fare affidamento sul principio di accountability e sulle migliori prassi in materia.
Ne deriva che, per assicurarsi la compliance al Regolamento, è essenziale l’esperienza sul campo e la conoscenza dei provvedimenti in materia, anche sanzionatori. Contattaci per ulteriori informazioni, per aiutarti a predisporre le istruzioni privacy al personale o per strutturare un piano formativo personalizzato.