| |
LA
FORMAZIONE E’ D’OBBLIGO
In ambito privacy, l’imprenditore che tratta
dati personali deve provvedere alla formazione dei
propri “incaricati”.
Con l’emanazione del nuovo Codice
sulla privacy, sono state aggiornate le misure “minime”
in materia di sicurezza, ossia le misure che il Titolare
del trattamento deve osservare obbligatoriamente altrimenti
incorre in sanzioni penali. Fra le misure assolutamente
nuove si ricorda l’obbligo, da parte del Titolare
del trattamento, di riferire, nella relazione accompagnatoria
del bilancio d'esercizio, se dovuta, dell'avvenuta
redazione o aggiornamento del documento programmatico
sulla sicurezza. In questa sede occorre soffermarsi
sulle novità relative alla formazione che bisogna
impartire agli incaricati. Obbligo già previsto
nel precedente regolamento tecnico (D.P.R. 318/99)
relativo alle misure minime di sicurezza ma che ha
assunto contenuti assai più ampi e concreti.
I
CONTENUTI DELLA FORMAZIONE
Il disciplinare tecnico relativo alle misure minime
di sicurezza (allegato B al Decreto 196/03) obbliga
il titolare del trattamento (ossia l’imprenditore
che tratta dati personali) a predisporre, un’attività
di formazione continua ed adeguata a favore degli
incaricati, ossia a favore delle persone fisiche autorizzate
dal titolare a compiere operazioni sui dati personali
(di solito i dipendenti); incaricati sono, ad esempio,
gli addetti ai call center, ovvero i collaboratori
delle software house che svolgono compiti di manutenzione
presso aziende terze, provvedendo al back –
up dei databases prima di iniziare l’attività
di aggiornamento o manutenzione del software.
L’obbligo di formazione è previsto nell’ambito
della predisposizione del Documento Programmatico
sulla Sicurezza (DPS). In detto documento occorre
sviluppare per iscritto un piano di formazione a favore
degli incaricati. In passato, vi era solo l’obbligo
di prevedere attività formativa avente ad oggetto
l’analisi dei rischi individuati nonché
i modi per prevenire i danni, legati al trattamento
dei dati personali.
Il nuovo intervento legislativo ha allargato le tematiche
oggetto della formazione, non è più
sufficiente indicare agli incaricati l’ambito
di rischio, nonché le modalità di prevenzione
dei danni, ma occorre soffermarsi anche sui profili
più rilevanti della disciplina dei dati personali,
le responsabilità che derivano dal trattamento
e le modalità per aggiornarsi sulle misure
di protezione adottate dal titolare.
La formazione deve inoltre essere “confezionata”
in base alle competenze e mansioni del soggetto, in
altre parole, devono essere scelti i profili della
disciplina sulla protezione dei dati personali più
rilevanti in rapporto alle relative attività.
QUANDO
SCATTA L’OBBLIGO FORMATIVO
Il legislatore ha individuato i momenti del rapporto
di lavoro che devono essere accompagnati da un’idonea
formazione. La prima occasione di formazione si verifica
al momento dell’assunzione. In questa fase,
il titolare del trattamento dei dati personali dovrà
provvedere all’alfabetizzazione del soggetto,
curando sia la conoscenza dei principi fondamentali
in materia di protezione dei dati personali, sia l’inserimento
del neo assunto nello schema di gestione e protezione
dei dati presente nell’azienda, dando ampia
conoscenza dei rischi esistenti in azienda nonché
delle misure adottate per farvi fronte In una fase
successiva, potrebbe accadere che vi siano dei cambiamenti
di mansione. In dette circostanze, si determina la
necessità di riformulare anche l’attività
formativa destinata all’”incaricato”,
che deve essere finalizzata all’integrazione
in un nuovo ruolo con prerogative privacy diverse,
specifiche per la nuova attività. Infine, potrebbe
accadere che siano introdotti nuovi significativi
strumenti. In questo caso l’attività
formativa dovrà concentrarsi sull’utilizzo
corretto della nuova tecnologia introdotta in sede
aziendale e dovrà integrarsi con l’attività
precedentemente svolta individuando eventuali novità
in merito ai rischi ed alle misure per evitarli.
IL
PIANO FORMATIVO NEL DPS
L’obbligo formativo è previsto dal nostro
legislatore nell’ambito delle misure minime
di sicurezza, ovvero, più precisamente, nell’ambito
del Documento Programmatico sulla Sicurezza (DPS).
Ogni soggetto tenuto alla redazione del DPS è,
infatti, obbligato a predisporre un piano formativo
strutturato sui parametri precedentemente considerati.
Tale piano dovrà essere correttamente predisposto
entro il 31 marzo di ogni anno, data di scadenza della
redazione del DPS.
Pertanto, graverà sul titolare del trattamento
non solo l’onere di occuparsi di un’attività
formativa predisposta in base alla realtà aziendale
ed alle competenze dei suoi dipendenti, ma anche la
necessità di documentare l’attività
svolta attraverso “idonee informazioni”
contenute nel DPS.
La riformulazione, in senso più ampio, del
disciplinare in materia di formazione degli incaricati,
se da un lato rappresenta un ulteriore onere gestionale
per il titolare del trattamento, dall’altro
è un inevitabile e importante tassello per
una corretto trattamento dei dati personali. Seguendo
la precedente impostazione, infatti, si rischiava
di trascurare la formazione di quei dipendenti che,
a causa delle loro mansioni, potevano determinare
gravi inefficienze in apparati di sicurezza sofisticati
-dal punto di vista tecnico- ma carenti sul piano
“umano”.
Questo intervento si può ricondurre alla generale
impostazione del nuovo Codice sulla privacy, finalizzata
all’integrazione tra apparato tecnico e attività
umana di gestione dello stesso per il raggiungimento
di un’efficace struttura generale di sicurezza.
LE
SANZIONI PENALI ED IL “RAVVEDIMENTO OPEROSO”
La mancata adozione di misure minime di sicurezza,
quale è la predisposizione del piano di formazione
nell’ambito del DPS, è sanzionata con
l’arresto fino a due anni e con la multa da
diecimila a cinquantamila euro. E’ tuttavia
importante ricordare che all'autore del reato, è
impartita una prescrizione fissando un termine per
la regolarizzazione non eccedente il periodo di tempo
tecnicamente necessario. Nei sessanta giorni successivi
allo scadere del termine, se risulta l'adempimento
alla prescrizione, l'autore del reato è ammesso
dal Garante a pagare una somma pari al quarto del
massimo dell'ammenda stabilita per la contravvenzione.
L'adempimento e il pagamento estinguono il reato.
|
|
