Nel corso degli ultimi mesi, l’intensificazione dei controlli relativamente alle buone e corrette policy aziendali in materia di privacy, ha, purtroppo, scoperto un nervo ancora troppo dolente; infatti sempre troppo spesso l’azienda sensibilizzata sì alla creazione di una policy aziendale, dopo aver formalizzato un discreto apparato teorico, nel divenire delle problematiche giornaliere del lavoro, abbandona le procedure operative creando, così, un terreno scivoloso e propenso a qualsiasi “incidente” sulla gestione dei dati.

Il fulcro troppo spesso poco considerato è l’importanza di talune indicazioni dei combinati disposti degli artt. 29 GDPR “chiunque abbia accesso a dati personali”, art. 32 “chiunque agisca sotto la loro autorità e abbia accesso a dati personali”, art 39 “formazione del personale che partecipa ai trattamenti”, art. 2-quaterdecies, Dlgs 196/2003 come modificato dal Dlgs 101/2018 “attribuiti a persone fisiche, espressamente designate”. Di cosa, dunque, stiamo parlando? Di coloro che, istruiti dal titolare del trattamento dati o dal responsabile del trattamento dati se designato, agisco attivamente e trattano i dati personali e non per le finalità espresse dal titolare del trattamento.

Tale ultima enunciazione potrebbe, ai più, sembrare essere un modus operandi che non necessita di particolari abilità; purtroppo, invece, tali operazioni, oltre ad essere “attività pericolose” così come l’art. 2050 del codice civile riteneva, sempre e comunque con l’ausilio del mai abbastanza compianto Dlgs 196/2003, far rientrare il trattamento dei dati, sono declinabili come abilità che devono avere tutti i soggetti altamente qualificati.

Vediamo ora dunque quali possono essere definibili le attività propedeutiche da attuare per l’istruzione degli ex incaricati al trattamento dei dati; indirettamente intuiamo l’adempimento dell’istruzione nell’art. 25 del Regolamento (UE) 2016/679 in quanto, se è vero che la progettazione per la protezione dei dati deve essere l’input del Titolare, è anche vero che la prosecuzione delle modalità operative dovranno essere portate a conoscenza dei soggetti a lui gerarchicamente sottoposti.

Tralasciando l’analisi dell’art. 29 che risulta essere ridonante nella comparazione con l’art. 32 del Regolamento (UE) 2016/679, ci soffermeremo ora su quest’ultimo in quanto definibile il cuore dell’adempimento in trattazione. Infatti, il solo titolo dell’articolo definisce l’importanza del suo contenuto: sicurezza del trattamento.

Il punto 4 risulta il vero monito nei confronti dei responsabili – non di nome ma di fatto – che si pronuncia in tal senso “Il Titolare del trattamento e il Responsabile del trattamento fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal Titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri”.

Sebbene sia chiaro l’intento del legislatore nel far percepire che chiunque tratti i dati per conto del Titolare del trattamento, a seguito di procedura autorizzativa di accesso alle singole banche dati, non possa procedere in tal senso se non precedentemente istruito, dovremmo tener da conto che, per coloro che avevano ottenuto una formazione anteriormente all’entrata in vigore del Regolamento (UE) 2016/679, possa essere previsto un refresh degli adempimenti da effettuare; per i soggetti, invece, in ingresso alla data di entrata in vigore del Regolamento UE 2016/679 potrebbe dover significare una formazione ex novo con i parametri di seguito definiti.

Sarebbe, dunque, possibile riscontrare una differenza di formazione e/o istruzione in base alla data di assunzione di personale dipendente che ha la funzione di trattare i medesimi dati? Sarà, quindi, obbligatorio procedere a un allineamento teorico pratico per tutti i soggetti preposti al trattamento dei dati? Probabilmente, tabula rasa delle informazioni acquisite precedentemente da un ex incaricato del Trattamento dati potrebbe essere la giusta e corretta operazione al fine di ordinare le operazioni di trattamento da effettuare sui dati personali.