1. Premessa
La formazione, nell’ambito dei Sistemi dell’Information & Communication Technology, prevede una serie di interventi formativi per gli incaricati del trattamento, al fine di renderli consapevoli dei rischi connessi alle attività relative al trattamento dei dati personali degli interessati, nonché delle connesse responsabilità.
Attualmente però la normativa in materia sta vivendo un momento di forte transizione, determinato dall’evolversi del contesto normativo e giurisprudenziale sul tema. I fermenti in atto portano gli operatori del diritto a interrogarsi se tale affastellamento normativo possa aver determinato modifiche rilevanti, le quali si ripercuoterebbero sui costi che le aziende sostengono nell’ambito della gestione dei Sistemi ICT.
2. La formazione nell’ambito della gestione dei Sistemi di Information & Communication Technology (ICT)
Il Codice Privacy (D.lgs. n. 196/2003), all’interno delle misure minime di sicurezza di cui all’All. b), paragrafo 19.6, prevedeva la necessità di predisporre “interventi formativi degli incaricati del trattamento, per renderli edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal titolare”.
Attraverso la disposizione citata, inserita nell’ambito degli adempimenti necessari ai fini della redazione del “Documento Programmatico sulla Sicurezza” (o DPS), il Legislatore aveva imposto la formazione degli Incaricati del trattamento affinché, questi, fossero resi edotti dei rischi e degli obblighi connessi al trattamento di dati personali. La formazione doveva essere programmata “al momento dell’inserimento dell’Incaricato in servizio, in occasione di mutamento di mansioni o nel caso di introduzione di nuovi e significativi strumenti, rilevanti rispetto al trattamento dei dati personali” e comunque in occasione della predisposizione del DPS, ossia il 31 marzo di ogni anno. Tale disposizione era altresì presidiata dalle sanzioni di cui agli artt. 169 e 162-bis del Codice, le quali rispettivamente prevedono la pena dell’arresto fino a due anni e una sanzione amministrativa pecuniaria da diecimila a cinquantamila euro.
L’obbligo di formazione di cui al par. 19.6 dell’All. b) è però oggi venuto meno per effetto dell’art. 45 co. I lett. d) D.L. n. 5/2012, poi convertito nella Legge n. 35/2012, il quale ha abrogato l’obbligo di predisporre, entro il 31 marzo di ogni anno, il DPS. Quindi, all’interno degli strumenti normativi predisposti dal Legislatore nazionale, è possibile affermare come, allo stato, non sia prevista una formazione di tipo “obbligatorio” per gli incaricati del trattamento, ossia per “le persone fisiche autorizzate a compiere operazioni di trattamento dal titolare o dal responsabile” (art. 4 co. I lett. h) D.lgs. n. 196/2003).
È necessario rilevare che, in data 25 maggio 2016, è entrato in vigore ilRegolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati). In virtù dei vincoli derivanti dell’ordinamento dell’Unione Europea, al fine di analizzare l’obbligatorietà, o meno, della formazione in materia di Privacy, non si potrà prescindere dalle indicazioni provenienti dal Regolamento citato.
L’art. 29 del Regolamento prevede che “Il responsabile del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del titolare del trattamento, che abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell'Unione o degli Stati membri.”
Anche se il verbo usato (“istruire”) potrebbe ingenerare confusione relativamente agli obblighi formativi sussistenti in capo al Titolare o al Responsabile del trattamento (per esempio “istruire” potrebbe essere inteso non come un obbligo formativo, ma come la necessità che il Titolare fornisca delle istruzioni operative al Responsabile del trattamento), la Sezione IV del Regolamento fornisce utili indicazioni in merito alla necessità di formare il personale incaricato del trattamento dei dati personali degli interessati.
A tal fine, gli artt. 37-39 stabiliscono che, nei casi previsti dal Regolamento, sia designato, quale Data Protection Officer (o DPO), il quale sarà designato “in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all'articolo 39”. Il Titolare o il Responsabile del trattamento dovranno stanziare le risorse necessarie affinché il DPO possa essere in grado di assolvere i compiti affidatigli dal Regolamento, tra i quali rientra quello di mantenere una conoscenza aggiornata in materia di trattamento di dati. Infine al DPO viene affidato, dall’art. 39, lett. b), il compito di “formare il personale che partecipa ai trattamenti”, attribuendo così a tale figura un compito proattivo nella gestione della formazione del personale che effettua un trattamento di dati personali.
La formazione viene poi menzionata all’interno dell’art. 47, lett. n) in merito alla predisposizione delle “norme vincolanti di impresa”, la quali dovranno essere applicate dai gruppi di imprese che si trovano ad operare contemporaneamente in diversi Paesi. L’articolo citato prevede che, tali norme, dovranno specificare almeno: “l'appropriata formazione in materia di protezione dei dati al personale che ha accesso permanente o regolare ai dati personali.”
Dalla lettura delle disposizioni del Regolamento citato sembra emergere che l’obbligo di formazione del personale debba intendersi come generalizzato ed esteso a tutti i soggetti che, all’interno di un’organizzazione complessa, trattano i dati personali degli interessati. Tale obbligo, a riconferma dell’importanza della formazione nell’ambito della normativa in materia di trattamento di dati personali, è altresì corredato dalle sanzioni di cui all’art. 83, paragrafo 4 (il quale assoggetta la violazione dell’articolo 29 a una sanzione amministrativa pecuniaria fino a 10 milioni di euro o, per le imprese, fino al 2-4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore).
Infine, l’obbligo di formazione per gli incaricati al trattamento, sebbene non più previsto come obbligatorio dalla normativa italiana in materia di privacy, sembra oggi generalmente ripristinato dal Regolamento 679/2016 (UE), il quale dovrà essere definitivamente implementato entro il 25 maggio 2018. Le organizzazioni complesse, fino a tale data, non sembrano legalmente obbligate a predisporre la formazione del proprio personale in materia di Privacy anche se, vista la natura e i rischi connessi al trattamento di dati personali, la stessa potrebbe ritenersi consigliata o comunque auspicabile.
3. Conclusioni
Si può evidenziare come l’obbligo formativo previsto all’interno del Regolamento 679/2016 (UE) si presenti come un obbligo generale e coessenziale all’attività svolta dal personale preposto al trattamento di dati personali.
Un ultima questione che sorge sul punto è la necessaria periodicità della formazione del personale incaricato del trattamento di dati personali. Sul punto è necessario rilevare come l’abrogata normativa di cui al punto 19.6 dell’All. B) al D.lgs n. 196/2003 prevedeva l’obbligo di programmazione della formazione “già al momento dell'ingresso in servizio, nonché in occasione di cambiamenti di mansioni, o di introduzione di nuovi significativi strumenti, rilevanti rispetto al trattamento di dati personali” e comunque in occasione dell’adozione del DPS entro il 31 marzo di ogni anno. Come sopra detto, venuto meno tale obbligo in virtù del D.L. n. 5/2012, poi convertito nella Legge n. 35/2012, è possibile riscontrare come il Regolamento nulla preveda sul punto, creando così un vuoto normativo.
A fronte della lacuna normativa riscontrata, sembra, a parere di chi scrive, logico e coerente prevedere un aggiornamento della formazione del personale in relazione alle ipotesi già previste nell’abrogata normativa. Tale conclusione sarebbe confermata dalla ratio sottesa all’obbligo formativo qui in esame, il quale sarebbe coessenziale a fare in modo che i soggetti preposti al trattamento dei dati personali siano consapevoli dei rischi connessi a tale attività, qualificata espressamente come pericolosa, ai sensi dell’art 2050 c.c., dall’art. 15 co. I D.lgs. n. 196/2003.
A fronte di tutto quanto evidenziato, non essendo stato previsto alcun obbligo formativo a carattere periodico, la formazione dovrà essere predisposta in caso di: i) inserimento in azienda di nuove risorse incaricate del trattamento di dati personali; ii) in caso di mutamento di mansioni; iii) introduzione di strumenti rilevanti rispetto al trattamento di dati.
In conclusione, sarà necessario attendere l’implementazione del Regolamento per poter verificare come gli Stati Membri dell’Unione europea si adegueranno agli obblighi previsti dalla citata normativa.