Il Regolamento generale sulla protezione dei dati, Regolamento Europeo (UE) 2016/679, meglio noto come Regolamento GDPR, è l’innovazione più significativa apportata negli ultimi anni in materia di protezione dei dati personali all’interno dell’Unione Europea.
Qualsiasi Azienda od Organizzazione che gestisca a qualunque titolo informazioni personali di cittadini e/o aziende residenti nell’UE, a partire dal prossimo 25 maggio (2018), dovrà adeguarsi a quanto prescritto dalla nuova normativa in materia di trattamento dei dati personali e di sicurezza delle informazioni.Ignorare il nuovo regolamento o commettere errori nella sua applicazione potrà avere conseguenze costose: infatti, alcune violazioni sono punibili con sanzioni pecuniarie fino al 4% del fatturato totale annuo dell’azienda oppure fino ad un massimo di 20 milioni di euro, con il conseguente danneggiamento della reputazione aziendale.Restano, quindi, appena due mesi prima dell’entrata in vigore del Regolamento GDPR (General Data Protection Regulation): dal 25 maggio 2018 entrerà in vigore riorganizzando completamente la gestione dei dati (personali e non) per decine di migliaia di aziende ed Organizzazioni interne all’Unione Europea ed extra europee che, a vario titolo, operano all’interno dei territori dell’UE.Ecco i punti fondamentali del nuovo regolamento, che, in parte, lo differenziano dalle normative che negli anni lo hanno preceduto:
1. Qualunque Organizzazione, indipendentemente dalle sue dimensioni, laddove si trovi a gestire dati personali di cittadini e/o Aziende residenti (od operanti) nel territorio dell’Unione Europea, sarà obbligata alla nomina di un Responsabile della Protezione dei Dati (RPD, meglio noto come DPO – Data Protection Officer), inclusi gli enti pubblici.
2. Il Responsabile della Protezione dei Dati dovrà condurre una valutazione d’impatto sul trattamento dei dati in tutti gli ambiti in cui si presentino, o si possano presentare, rischi di violazione della privacy.
3. Il Responsabile della Protezione dei Dati dovrà segnalare ogni violazione della normativa alle autorità competenti entro 72 ore.
4. L’Organizzazione, indipendentemente dalle sue dimensioni, ha l’obbligo della formazione in materia di protezione dei dati personali per tutte le figure presenti al suo interno (sia dipendenti che collaboratori).
5. Se un’azienda non si trova nell’Unione Europea, ma lavora con cittadini e/o aziende al suo interno, dovrà comunque conformarsi ai requisiti imposti dal Regolamento.
6. Le Aziende / Organizzazioni dovranno obbligatoriamente richiedere ed ottenere il consenso dei genitori per gestire i dati dei minori di 16 anni.
7. L’interessato ha il diritto alla cancellazione dei propri dati (“diritto all’oblio”)
8. Le aziende che infrangono il Regolamento GDPR possono essere multate fino al 4% del fatturato globale annuo oppure fino a 20 milioni di euro.
La Formazione, come già accennato, il nuovo regolamento introduce l’obbligo della formazione a tutti i livelli, all’interno di società ed organizzazioni private e Pubblica Amministrazione. Come già esposto, chi non si adegua rischia grosse sanzioni. Si tratta di una novità rilevante, in quanto la Legge 4 aprile 2012, n. 35 aveva abrogato, nel 2012, l’obbligo di formazione previsto al punto 19.6 dell’ allegato B al D.Lgs. 30 giugno 2003, n. 196, il cosiddetto “Codice in materia di protezione dei dati personali”, che prevedeva l’erogazione di “interventi formativi degli incaricati del trattamento, per renderli edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal titolare”.La formazione in materia di privacy rimaneva, e tuttora rimane, obbligatoria nel settore sanitario, come prescritto dall’art. 83 del D.Lgs. 196/2003, che prevede l’obbligo, per le strutture, di attivare “la messa in atto di procedure, anche di formazione del personale, dirette a prevenire nei confronti di estranei un’esplicita correlazione tra l’interessato e reparti o strutture, indicativa dell’esistenza di un particolare stato di salute” e di prevedere “la sottoposizione degli incaricati che non sono tenuti per legge al segreto professionale a regole di condotta analoghe al segreto professionaleLa formazione costituisce, pertanto, un prerequisito per potere operare all’interno delle organizzazioni, imprese e pubbliche amministrazioni. Essa dovrebbe, alla luce dell’impianto del Regolamento, presentare un taglio interdisciplinare (con sessioni sia informatiche sia giuridiche sia sui profili organizzativi dell’Organizzazione privata oppure dell’Ente Pubblico) e pragmatico (come si evince dal termine “istruito” previsto dagli artt. 29 e 32 del Regolamento) e riguardare tutti i soggetti.
La formazione dovrebbe essere finalizzata ad illustrare i rischi generali e specifici dei trattamenti di dati, le misure organizzative, tecniche ed informatiche adottate, nonché le responsabilità e le sanzioni.L’obbligo formativo non deve essere in alcun modo sottovalutato da parte delle imprese (e delle pubbliche amministrazioni): nel caso di mancata erogazione della formazione scatta, infatti, ai sensi dell’art. 83, paragrafo 4, del Regolamento GDPR, la rilevante sanzione amministrativa pecuniaria fino a 10 milioni di euro, oppure fino a 2 % del fatturato mondiale annuo dell’anno precedente, se superiore.L’adempimento degli obblighi formativi è, sovente, oggetto anche di accertamenti ispettivi da parte dell’Autorità Garante della Privacy e da parte della Guardia di Finanza, che ha rinnovato nel corso del 2016, il protocollo di intesa con l’Autorità.Il Garante, in diversi casi, in sede ispettiva ha richiesto, infatti, di acquisire il programma ed il piano di formazione, le dispense, i materiali erogati, il test finale ed ha analizzato il profilo delle istruzioni agli incaricati al trattamento connesse all’accesso, alla consultazione delle banche dati, i livelli di autorizzazione e policy aziendali (ad esempio in materia di password aziendali e di videosorveglianza).
La formazione costituisce, pertanto, una misura di sicurezza per le organizzazioni, un onere a carico del titolare, un diritto ed un dovere per i dipendenti ed i collaboratori.Le Organizzazioni private, di qualunque dimensione, le imprese, e gli Enti pubblici, pertanto, devono:
– pianificare quanto prima un percorso ed un piano di formazione;
– prevedere prove finali nel percorso formativo, e sessioni di aggiornamento alla luce delle modifiche normative, organizzative e tecniche;
– individuare un percorso formativo alternativo, in caso di mancato superamento del test finale, ed un nuovo esame di verifica;
– accantonare adeguate risorse in sede di approvazione di bilancio, al fine di arrivare preparati alla scadenza del 25 maggio 2018, data in cui il Regolamento, già in vigore, esplicherà i suoi effetti.
L’Organizzazione, nella progettazione dei corsi di formazione, deve esaminare ed individuare: i fabbisogni formativi, la propria struttura, i profili organizzativi, il target, i prerequisiti, le finalità generali e specifiche di ciascuna sessione formativa nonché le relative modalità di erogazione (in aula o a distanza) ed i precedenti corsi predisposti in materia.Dovrebbe, inoltre, stabilire aree di priorità di intervento, a titolo esemplificativo ma non esaustivo le figure apicali, gli amministratori di sistema, i nuovi assunti ed infine le persone autorizzate al trattamento.Queste ultime, corrispondono agli ex incaricati individuati dall’ex. D.Lgs. 196/2003 e sono, sostanzialmente, tutti coloro che, a vario titolo, all’interno dell’Organizzazione, trattano dati personali. Essi dovranno essere appositamente nominati mediante una lettera di designazione contenente le istruzioni sui trattamenti che dovranno svolgere.Nelle previsioni di budget è necessario considerare anche risorse specifiche per la formazione de Data protection Officer (DPO) e dei componenti del team.Il Data Protection Officer, figura obbligatoria nelle pubbliche amministrazioni e organo di presidio e di controllo, deve anch’esso, ai sensi dell’art. 39 del regolamento, occuparsi della “formazione del personale che partecipa ai trattamenti ed alle connesse attività di controllo”.
La previsione di tale compito a carico del DPO costituisce un ulteriore elemento di garanzia della centralità e dell’effettività della formazione che potrà, nella logica del regolamento, essere oggetto di specifici audit. La formazione costituisce essa stessa una misura essenziale al fine di garantire un livello di sicurezza adeguato a garanzia del Titolare del trattamento, figura sul quale ricade ogni responsabilità.La previsione di eventi formativi diretti al personale e ai collaboratori risponde al principio di responsabilizzazione del Titolare del trattamento, previsto dal Regolamento europeo (UE) 2016/679: i dipendenti e i collaboratori potranno, infatti, trattare i dati solo se autorizzati ed entro i limiti delle istruzioni loro impartite dal titolare, il quale potrà, comunque sempre, avvalersi, come intermediario, di altro soggetto debitamente autorizzato ; il principio sancito dal Regolamento è, perciò, che il titolare debba dimostrare che il trattamento dei dati sia lecito, corretto, trasparente, pertinente, adeguato, legittimo e che vengano, inoltre, rispettati i principi di minimizzazione, di conservazione dei dati e siano previste misure di sicurezza adeguate.
Il programma ed il piano formativo costituiscono, pertanto, dei tasselli rilevanti del cosiddetto sistema di gestione della privacy in grado di concretizzare il principio di capacità di dimostrare di avere adottato misure di sicurezza adeguate.La formazione non deve essere considerata, pertanto, come un mero adempimento burocratico ma come un’opportunità per:
· rendere consapevoli gli operatori sui rischi connessi al trattamento dei dati e delle relative misure di sicurezza
· migliorare i processi organizzativi ed i servizi erogati
· evitare danni reputazionali
· ridurre i rischi di sanzioni amministrative
· rendere più competitiva l’organizzazione
Nell’ottica di un miglioramento continuo e di una gestione in qualità del sistema di gestione della privacy, sarebbe auspicabile, come già sta avvenendo, prevedere sessioni informative on line (i cosiddetti “webinar”) per sensibilizzare anche gli utenti sul valore della protezione dei dati personali, come diritto collettivo, e sull’utilizzo consapevole e responsabile di Internet.
Per approfondimenti si suggerisce di leggere quanto indicato dal Garante della Privacy nel suo sito: Leggi quì
Per approfondimenti si suggerisce di leggere quanto indicato dal Garante della Privacy nel suo sito: Leggi quì
