VIDEO "Perche' mi da' fastidio Vedere nulla di nuovo Si parla sempre di amore Per poi non farlo veramente" - Amoroso - La stessa
Privacy
La conoscenza come principale misura minima di sicurezza
DR. ERIC FALZONE – PADOVA 21 FEBBRAIO 2007
EUCS – Referente: Dr. Eric Falzone – Via A. Gloria 21 – 35030 Rubano (PD) Tel. +39-348-6916273 – Fax +39-049-631246 – Web: www.eucs.it – E-mail: eric.falzone AT eucs.it
Indice generato dai software di IusOnDemand DR. ERIC FALZONE – PADOVA 21 FEBBRAIO 2007 INFORMAZIONE & FORMAZIONE PRIVACY:la conoscenza come principale misura minima di sicurezzaINDICE INTRODUZIONE I – LA DEFINIZIONE DI FORMAZIONE PRIVACY II – LA REGOLA 19.6 DELL’ALLEGATO B) III – SCOPI, FINALITA’ E CARATTERISTICHE DELLA FORMAZIONE PRIVACY IV – L’ANALISI E LA DETERMINAZIONE DEI BISOGNI FORMATIVI V – LA PROGRAMMAZIONE DELLA FORMAZIONE PRIVACY VI – LE FORME DI EROGAZIONE DELLA FORMAZIONE PRIVACY VII – IL CONTROLLO E LA VALUTAZIONE DEI RISULTATI VIII – LE RESPONSABILITA’ CIVILI E PENALI PER MANCATA FORMAZIONE PRIVACY CONCLUSIONI FONTI Privacy in Azienda: Manuale di Formazione per Titolari, Responsabili e Incaricati (Autore Eric Falzone – Casa Editrice Hoepli Spa) - Decreto legislativo 30 giugno 2003, n. 196 – D.P.R. 318/99 – Legge 675/96 – Quaderni CNIPA - Codice Civile –Codice Penale
Copyright 2007 – Dr. Eric Falzone Via A. Gloria 21 – 35030 Rubano (PD) – Tel. 348-6916273 – Fax 049-631246 – E-mail: eric.falzone@eucs.it Tutti i diritti sono riservati. La riproduzione, modifica e utilizzo di qualsiasi parte del presente documento è consentita solo previa autorizzazione dell’Autore. E’ comunque escluso ogni utilizzo del contenuto del presente documento per la redazione di ulteriori saggi, testi o pubblicazioni. INTRODUZIONE: “Formare ed Informare” un motto che dovrebbe connotare lo stile manageriale di ogni buon titolare, un approccio organizzativo che dovrebbe sempre guidare il vertice direzionale nelle difficili sfide dell’economia della conoscenza. Purtroppo invece parlando di formazione privacy in azienda, il più delle volte ci si trova di fronte ad una lunga serie di preconcetti, che hanno la loro origine storica in un errato modello di sviluppo organizzativo aziendale e che trovano la loro logica in un consolidato sistema informativo e manageriale di tipo “low cost”. In questo contesto la formazione privacy viene spesso considerata dal top management come un oneroso costo ed un inutile bagaglio di conoscenze normative, che finisce per distogliere il personale dall’attività produttiva e per rallentare i processi aziendali con il rischio persino di creare possibili tensioni sindacali. In realtà affrontando la problematica della formazione privacy in azienda con un corretto approccio psicologico, organizzativo e metodologico, si possono riscontrare fin da subito considerevoli vantaggi in termini di sicurezza e affidabilità dei sistemi informativi, di snellimento dei processi e delle procedure per la gestione documentale, di prevenzione di possibili reati informatici e trattamenti illeciti di dati personali con conseguente minore probabilità di richieste di risarcimento danni a titolo contrattuale o extracontrattuale. La vera sfida per le aziende del nuovo millennio sarà quindi quella di riuscire a rinnovare costantemente i propri modelli organizzativi e cognitivi in maniera tale da imparare a formare ed informare il proprio personale su come affrontare i continui cambiamenti normativi, sociali e tecnologici nel rispetto di principi etici aziendali condivisi e basati sui diritti fondamentali dell’uomo, quali la privacy. I - LA DEFINZIONE DI FORMAZIONE PRIVACY: La “Formazione Privacy” può essere definita come “l’insieme delle attività e degli interventi in materia di trattamento di dati personali e sicurezza delle informazioni, predisposti da un determinato titolare, finalizzati ad aumentare le competenze cognitive, operative e comportamentali di responsabili e incaricati ed in grado di incidere in maniera significativa sull’etica e le metodologie di lavoro aziendali.” In particolar modo possono essere ricompresi nel concetto di “Formazione Privacy” tutti quegli interventi in materia di protezione di dati personali diretti a modificare abitudini comportamentali scorrette, a riconoscere pericoli e condizioni potenziali, che potrebbero determinare eventi indesiderati, a prevenire i rischi e a fronteggiare eventuali emergenze. L’obbligo di formazione privacy, già presente in maniera implicita tra gli adempimenti previsti dalla legge 675/96, ha trovato un riconoscimento ufficiale solo con l’entrata in vigore del D.P.R. 318/99, con il quale veniva introdotto per la prima volta il “Documento Programmatico sulla Sicurezza” e, all’art. 6.1.d, “l’elaborazione di un piano di formazione per rendere edotti gli incaricati del trattamento dei rischi individuati e dei modi per prevenire danni.” II - LA REGOLA 19.6 – ALLEGATO B): L’obbligo di formazione privacy, inizialmente introdotto con il DPR 318/99, verrà poi ripreso ed ampliato nel “Codice in Materia di Protezione dei Dati Personali” con l’introduzione della Regola 19.6 dell’Allegato B), che nel formulare i contenuti del Documento Programmatico sulla Sicurezza (DPS) prevede:
Oltre che dalla Regola 19.6 dell’Allegato B), la formazione privacy come obbligo è ravvisabile anche in tutti quegli articoli del D.Lgs 196/03, nei quali il legislatore fa esplicito riferimento ai doveri del titolare di impartire istruzioni ai responsabili e agli incaricati del trattamento. Il Codice Privacy individua, quindi, nella formazione lo strumento principe, che ogni titolare deve obbligatoriamente adottare, per aumentare la collaborazione di responsabili e incaricati e per ridurre al minimo i rischi di distruzione o perdita dei dati, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta. Nello specifico gli interventi formativi dovrebbero sempre focalizzarsi sulle scelte e sulle politiche aziendali in tema di privacy e sicurezza delle informazioni; con particolare attenzione alle esperienze quotidiane di lavoro in maniera tale da far emergere problematiche, rischi e comportamenti non corretti già presenti nelle operazioni di trattamento e individuare eventuali conoscenze mancanti, carenti o distorte. Fondamentale per il buon esito degli interventi sarà poi un approccio formativo alla privacy ed alla sicurezza che superi la mentalità tradizionale legata al contingente e all’obbligo di un formale adeguamento ad un imperativo di legge. La formazione privacy dovrà essere quindi intesa ed affrontata come un processo di continuo e costante miglioramento, che non si limiti ad una semplice trasmissione teorica di informazioni, ma che coinvolga l’intera struttura organizzativa aziendale consentendo azioni programmatiche comuni e coordinate, che apportino a tutto il personale incaricato maggiori conoscenze ed abilità e soprattutto una maggiore consapevolezza dell’importanza dei propri comportamenti e del proprio ruolo funzionale. III - SCOPI, FINALITA’ E CARATTERISTICHE DELLA FORMAZIONE PRIVACY: Come su evidenziato, la normativa ha imposto al titolare espliciti obblighi nel campo della formazione privacy. Questo ha generato nel tempo un’ampia e confusa offerta di servizi formazione, con il preoccupante risultato che molti titolari non riuscendo effettivamente a comparare e valutare la qualità delle offerte ed i risultati attesi, hanno basato la loro scelta unicamente sul parametro prezzo. In questo modo l’obiettivo fondamentale del Codice Privacy, ovvero la promozione della cultura della sicurezza e della protezione dei dati personali, viene il più delle volte eluso a favore di un adempimento formale della norma, con il risultato che il personale incaricato al trattamento, invece di concentrarsi sull’apprendimento, tende di massima a mettere in pratica il minimo indispensabile per non incorrere nelle sanzioni previste per legge. Per limitare questo fenomeno, è necessario quindi, che i titolari imparino a valutare e scegliere i servizi di formazione privacy in base a criteri e standard qualitativi largamente riconosciuti, tenendo almeno in considerazione che un progetto formativo corretto dovrebbe sempre prevedere:
IV - L’ANALISI E LA DETERMINAZIONE DEI BISOGNI FORMATIVI PRIVACY: La prima fase di un progetto formativo privacy dovrebbe essere rivolta all’analisi e alla determinazione dei bisogni formativi in ambito privacy ed in particolare alla fine di questa fase dovrebbero essere note al titolare le seguenti informazioni:
Queste informazioni potranno essere raccolte principalmente attraverso:
In questa fase, un ruolo fondamentale dovrà essere inoltre affidato ai Responsabili Interni, che in qualità di supervisori dotati di autorità e preposti alla sorveglianza di determinati ambiti di trattamento dovranno partecipare agli interventi formativi e controllare i risultati delle azioni intraprese verificandone così l’efficacia. Questo in quanto, essendo nella migliore posizione di vedere e sentire cosa non va, sono in grado di agire in maniera più tempestiva ed efficace rispetto ad uno specialista della formazione. V - LA PROGRAMMAZIONE DELLA FORMAZIONE PRIVACY: Una volta individuati i bisogni formativi si dovrà procedere con la definizione di un programma didattico strutturato sulle specifiche esigenze delle varie aree aziendali. Si potrà quindi optare per l’utilizzo di risorse esterne allo scopo di incamerare in azienda nuove competenze o decidere di avvalersi di risorse interne, qualora vi siano figure in azienda con tempo a disposizione e che conoscano il personale, il sistema informativo, la struttura organizzativa e le più moderne tecniche di apprendimento. Si dovrà poi procedere alla redazione di un calendario di eventi formativi da sottoporre al vaglio e all’approvazione dei Responsabili Interni e del personale dirigente delle varie aree aziendali. Lo sviluppo del percorso formativo potrà poi variare in funzione degli obiettivi prefissati in sede di analisi, e potrà consistere in:
Il materiale didattico utilizzabile invece potrà consistere a scelta in:
VI - LE FORME DI EROGAZIONE DELLA FORMAZIONE PRIVACY: Al fine di erogare corsi di formazione privacy che risultino efficaci, ogni titolare dovrà tenere in considerazione tre parametri fondamentali:
Le tecniche di Formazione a Distanza (FAD) nascono per superare i problemi spazio-temporali tipici della formazione in aula, che richiedono la presenza contemporanea di più persone nello stesso luogo per un medesimo periodo di tempo. Rispetto alla modalità tradizionale in aula, la FAD presenta il notevole vantaggio di poter personalizzare la formazione a seconda dell’utente, del luogo e del tempo a disposizione. Anche qui come per l’e-learning il suo utilizzo deve essere considerato secondario e marginale rispetto alla formazione classica in aula, che dovrebbe sempre essere considerata la modalità di erogazione primaria della formazione privacy in azienda. Tra le principali forme di formazione a distanza troviamo i sistemi cosiddetti “Computer Based Training” - C.B.T” ovvero metodi di insegnamento basati sull'uso di speciali programmi didattici per computer o di altro software dedicato fornito su supporti CD-ROM o DVD-ROM. I metodi CBT hanno però l’enorme svantaggio di poter essere utilizzati esclusivamente con l’ausilio di strumenti elettronici. Per risolvere questo problema (ed in particolar modo nei casi in cui sia necessario formare incaricati al trattamento singolarmente e in maniera svincolata dall’utilizzo di sistemi informatici) si propone l’adozione di un nuovo metodo di formazione a distanza basato sul manuale e prontuario “Privacy in Azienda: Manuale di Formazione per Titolari, Responsabile e Incaricati” (Editore: Casa Editrice Libraria Ulrico Hoepli Spa - Autore: Eric Falzone - Pag. 133 –Prezzo di Copertina: € 13,00) un’opera strutturata per essere utilizzata sia come manuale di formazione privacy che come vademecum tascabile per l’adempimento degli obblighi normativi previsti dal Codice Privacy. La modalità formativa a distanza proposta nel manuale “Privacy in Azienda” prevede 4 fasi di intervento:
I principali vantaggi riscontrati dai titolari che hanno utilizzato il metodo di formazione a distanza basato sul manuale “Privacy in Azienda” sono stati: il completo adempimento degli obblighi di formazione imposti dalla legge, l’abbattimento dei costi di formazione, l’ottenimento di un feedback immediato sull’apprendimento degli incaricati e la possibilità di mettere a disposizione del personale uno strumento operativo immediatamente consultabile in caso di necessità. VII - IL CONTROLLO E LA VALUTAZIONE DEI RISULTATI: La fase successiva all’erogazione della formazione privacy è la valutazione dei risultati ottenuti in considerazione anche del loro possibile impatto in termini di analisi del rischio. Questa fase risulta forse la più problematica da gestire in quanto, al fine di una corretta valutazione, si dovrà:
Qualora, al termine di questo processo, i risultati finali non fossero soddisfacenti, si dovrà procedere alla riformulazione e ripetizione degli eventi formativi e non si potrà inserire l’incaricato nell’organizzazione fintanto che non sia stato valutato idoneo. Un corretto processo di valutazione dovrebbe quindi essere svolto prima, durante e dopo il processo formativo e dovrebbe comprendere una:
VIII - LE RESPONSABILITA’ CIVILI E PENALI PER MANCATA FORMAZIONE PRIVACY: Come finora evidenziato, la formazione privacy è un obbligo di legge sia in termini di generale misura di sicurezza (art. 31) che di particolare misura minima di sicurezza (art. 33, 34 e 35). Le scelte attinenti alle modalità di erogazione della formazione privacy, invece, hanno natura discrezionale e sono liberamente valutabili dal titolare in base ai bisogni formativi degli incaricati, alle procedure aziendali e alle misure minime di sicurezza adottate per il trattamento. Qualora il titolare non provveda a formare il personale incaricato, potrà perciò essere penalmente perseguito per il reato - previsto all’art. 169 del D.Lgs 196/03 - di omessa adozione di misure minime di sicurezza con conseguente possibile arresto sino a due anni o ammenda da € 10.000,00 a € 50.000,00. Inoltre potrà vedersi costretto anche a rispondere per gli eventuali danni cagionati a terzi per effetto delle operazioni di trattamento per il semplice fatto di non aver adottato tutte le misure di sicurezza idonee a ridurre al minimo il rischio. Nello specifico il Codice Privacy all’art. 15.1 prevede che:
Con il riferimento all’art. 2050 c.c. (che disciplina la figura del risarcimento del danno per fatto illecito - art. 2043 c.c. - in caso di responsabilità per esercizio di attività pericolose) il legislatore ha perciò esplicitamente dichiarato il trattamento dei dati personali un attività pericolosa. Pertanto il titolare che cagioni danno ad altri per effetto del trattamento di dati personali sarà “…tenuto al risarcimento se non prova di aver adottato tutte le misure idonee a evitare il danno” tra le quali anche e soprattutto la formazione privacy. Sarà quindi a carico del titolare l’onere della prova ovvero dimostrare di avere adottato tutte le misure idonee ad evitare il danno, compresa anche la formazione privacy. Al titolare che voglia esimersi dal risarcimento, non sarà sufficiente affermare di non avere violato le disposizioni di legge (cosiddetta prova negativa), ma dovrà dimostrare necessariamente di avere adottato tutte le misure possibili per impedire l’evento dannoso (cosiddetta prova positiva). Tale dimostrazione risulterà fondata solo qualora dimostri che tra l’attività di trattamento e l’evento dannoso non ci sia un nesso di causalità. Secondo l’orientamento prevalente della Cassazione, la responsabilità sarà imputata a chi, al momento del danno, esercitava il controllo sull’attività di trattamento. L’imprenditore pertanto è tenuto ad organizzare le attività di trattamento in maniera tale da poter ricondurre gli eventi dannosi ai soli episodi di caso fortuito. Al fine di ottenere il risarcimento, l’interessato dovrà solamente provare che il danno si sia effettivamente realizzato e che sia dipeso dall’attività di trattamento posta in essere sotto il controllo del titolare. Per sottrarsi dall’obbligo di risarcimento, il titolare avrà, invece, l’onere di provare di avere adottato tutte le misure idonee a evitare il danno, compresa la formazione privacy. Qualora il danno sia dovuto a negligenza o errore imputabile ai responsabili o al personale incaricato, il titolare per rivalersi su di essi dovrà provare di aver adottato tutte le cautele del caso, ed in particolare di aver effettuato una corretta formazione privacy mirata alla conoscenza delle disposizioni di legge, all’utilizzo degli strumenti e delle risorse aziendali, e all’apprendimento delle procedure e delle misure minime di sicurezza previste per il trattamento dei dati personali. Inoltre dovrà provare di aver selezionato accuratamente le modalità formative più idonee, di aver erogato adeguatamente la formazione e di aver vigilato costantemente sull’operato di responsabili ed incaricati anche al termine degli eventi formativi. Quindi il titolare che abbia effettuato una corretta formazione privacy - in caso di violazione da parte di responsabili e incaricati delle disposizioni impartite e degli obblighi di fedeltà (art. 2105 c.c.) e diligenza (art. 2104 c.c.) - oltre ad applicare le sanzioni disciplinari previste (art. 2106 c.c.) potrà rivalersi sui lavoratori inadempienti richiedendo il risarcimento dei danni subiti. Il lavoratore che sia stato edotto “…dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal titolare…” risponde perciò del danneggiamento a titolo di responsabilità contrattuale e, precisamente, a titolo di inadempimento dell'obbligo di diligenza nell'esecuzione della prestazione di lavoro. Ai fini della richiesta di risarcimento del danno fondata sulla responsabilità contrattuale per inadempimento, il titolare può inoltre anche non rispettare le procedure previste dall’art. 7 dello Statuto dei Lavoratori, in quanto esse mirano a limitare l’esercizio unilaterale del potere disciplinare da parte del datore di lavoro, e non a disciplinare l’ipotesi di azione di responsabilità per inadempimento ai sensi dell'art 1218 c.c. Al fine del risarcimento del danno, tuttavia incombe sul titolare l'onere di fornire la prova (che deve essere autonomamente e concretamente dimostrata) che l'evento dannoso sia da riconnettere ad una condotta colposa del personale incaricato, derivante da una violazione degli obblighi di diligenza. Da quanto finora evidenziato, la formazione privacy, più che un obbligo normativo, dovrebbe essere considerata dai titolari un’irripetibile opportunità per trasmettere i valori etici aziendali e per coinvolgere il personale nelle scelte organizzative e gestionali, creando così una politica di sicurezza comunemente condivisa. Affinchè ciò si avveri, è però indispensabile un radicale mutamento di mentalità da parte dei vertici aziendali ed un conseguente reindirizzamento degli stili manageriali verso schemi organizzativi aperti e partecipativi tipici dell’economia della conoscenza. La formazione, pertanto, non dovrebbe essere più considerata un costo, ma un logico ed indispensabile strumento per modellare i processi organizzativi e garantire la condivisione di una filosofia etica aziendale basata sui valori della protezione dei dati personali e della sicurezza delle informazioni. 26.02.2007 DR. ERIC FALZONE DR. ERIC FALZONE Link: http://www.eucs.it
|