Sin dagli albori della normativa in materia di protezione dei dati personali, in Italia ricorre il concetto, più o meno espressamente previsto, che chiunque tratti i dati per conto del titolare dovrebbe attenersi alle sue istruzioni. Questo concetto era espresso nella Direttiva 95/46/CE, era stato recepito con la L 657/1996, in particolare con gli artt. 8, co. 5, e 9 (peraltro richiamati dal DPR 318/1999), si era poi evoluto nel Codice (art. 29), per trovare la sua dimensione attuale con il GDPR, che non solo statuisce (ulteriormente) che chiunque agisca sotto l’autorità del titolare del trattamento e che abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso (cfr. art. 29 del GDPR), ma include (nuovamente) tale aspetto nel novero delle misure di sicurezza (cfr. art. 32 del GDPR), mettendolo addirittura sotto la diretta sorveglianza del RPD, se presente (cfr. art. 39, par. 1, lett. b) del GDPR). In estrema sintesi, sono almeno 25 anni che la norma in materia di protezione dei dati personali vuole che le persone fisiche che trattano tali informazioni siano istruite e, conseguentemente, seguano corsi di formazione.
La differenza tra istruire e formare
Si badi bene che “istruire” e “formare” non necessariamente sono sinonimi: se, nel primo caso, ci si può limitare a dare degli ordini; nel secondo, invece, bisogna necessariamente mettere in piedi un complesso processo cognitivo, che si dovrebbe concludere solo quando le informazioni che l’emittente (leggasi il titolare del trattamento) ha deciso di fornire, siano state adeguatamente assimilate e comprese dai destinatari (ossia gli incaricati o autorizzati al trattamento, che dir si voglia) in modo tale che vadano a costituire una solida base culturale e siano in grado di modificare fattualmente l’approccio e il comportamento di coloro che operano trattando i dati personali.
Questa considerazione preliminare ci porta a farne un’altra: il mercato da tempo offre percorsi di formazione in materia di protezione dei dati personali, variamente nominati e accreditati, fino a essere, taluni, propedeutici per la certificazione delle qualità e delle conoscenze di chi porta a conclusione il percorso.
Tuttavia, osservando quotidianamente l’operatività e le caratteristiche del tessuto economico e sociale del Paese, non è raro imbattersi in soggetti che, a prescindere dalla loro posizione nell’organigramma del titolare per il quale agiscono, non hanno assolutamente una formazione adeguata.
L’inadeguatezza della formazione in materia di protezione dei dati personali
Secondo una ricerca condotta personalmente su un campione di oltre 100 enti, sia pubblici che privati (di qualunque dimensione) che misti, i risultati in tal senso delineano un quadro a dir poco nefasto: circa il 16% ha definito un modello organizzativo e di gestione; circa il 4% ha personale in grado di riconoscere e gestire una violazione e circa il 5% ha personale in grado di riconoscere e gestire l’esercizio di un diritto degli interessati (senza pretesa di discettare sulla qualità del riconoscimento e della gestione); circa il 13% ha personale in grado di utilizzare in modo adeguato o almeno accettabile gli strumenti che ha a disposizione (spazi di archiviazione in cloud, posta elettronica, strumenti per il lavoro agile o il lavoro di gruppo…); circa il 4% ha personale che sa archiviare i dati con criteri funzionali agli scopi del titolare; circa il 10% ha personale consapevole e a conoscenza degli obblighi derivanti dalla normativa principale; circa il 7% ha personale consapevole e a conoscenza degli obblighi derivanti dalla normativa secondaria.
Queste lacune, purtroppo, non possono essere colmate dalla partecipazione ai corsi di formazione, altamente specialistici, di cui si scriveva poc’anzi, ma necessitano nel modo più assoluto di un concreto intervento da parte del titolare del trattamento, coadiuvato, se del caso, dal responsabile del trattamento e, ovviamente ove presente, dal responsabile della protezione dei dati. Il problema più grande, nell’immediato, è che in pochi sono davvero in grado di utilizzare i loro strumenti di lavoro (intesi in senso lato, dalla modulistica ai dispositivi informatici, dalle risorse messe a disposizione ai macchinari per distruggere i dati o i loro supporti) e ancora meno lavorano ordinatamente (nel senso letterale del termine) creando e alimentando banche di dati efficaci ed efficienti. Nel medio-lungo periodo, invece, la criticità maggiore è la (quasi) totale assenza di cultura della protezione dei dati, della riservatezza, della privacy.
Conclusioni
Purtroppo, il secondo problema è figlio di un atteggiamento poco accorto messo in atto sin dall’inizio, imputabile non solo ai titolari del trattamento, ma anche e soprattutto al legislatore che non ha considerato sullo stesso piano la tutela dei dati personali e la tutela della salute e della sicurezza sul lavoro: in questo secondo caso, infatti, il quadro normativo di riferimento, composto principalmente dal Dlgs 81/2008, dal DM 388/2003, dal DM 10/03/1998 e dagli Accordi Stato-Regioni del 2011 e del 2016, esplicita chiaramente i programmi, le modalità, le tempistiche e le caratteristiche dei docenti.
Ora la domanda è retorica: se ci si è spostati dall’habeas corpus all’habeas data, se viviamo nella società dell’informazione, se la protezione dei dati è presupposto inamovibile di libertà e dignità, per quale motivo non esiste ancora una cultura generalizzata e condivisa il più largamente possibile sull’argomento e chi tratta i dati personali lo fa troppo spesso in condizioni di ignoranza delle migliori modalità e tecniche?