GDPR e la centralità della formazione

formazione gdpr

La formazione costituisce il pilastro della costruzione di un valido sistema di gestione privacy.

E’ necessario che tutte le risorse aziendali siano correttamente istruite riguardo le legittime modalità di trattamento dei dati personali. La formazione, dunque, costituisce un elemento imprescindibile a tutti i livelli: responsabili del trattamento, dirigenti, sviluppatori in campo informatico e ogni figura incaricata ai processi di lavorazione di informazioni identificative.

Gli articoli 29 e 32 del regolamento 679/2016 (GDPR) prevedono espressamente che chiunque abbia accesso a dati personali non può trattarli se non è edotto in tal senso dal titolare del trattamento, caratterizzando così la formazione come il prerequisito fondamentale per poter operare nell’ambito di qualsiasi organizzazione pubblica o privata.

L’impostazione da attribuire alla preparazione delle figure che hanno a che fare con i dati personali dovrà essere interdisciplinare, presentare cioè un taglio giuridico, procedurale, organizzativo, informatico e pragmatico e tesa a porre in evidenza i possibili rischi in cui ciascun operatore potrà incorrere.

Partendo poi dalla rilevazione delle situazioni di pericolo sia generali che specifiche, sarà necessario, indirizzare la formazione verso le procedure da attuare per mettere in sicurezza l’attività di trattamento interessata.

E’ importante non sottovalutare l’aspetto formativo perché il Garante privacy, al fine di verificare l’ottemperanza alle disposizioni normative europee, potrà vagliare anche grado, metodo ed efficienza del sistema adottato per consapevolizzare le figure addette al trattamento dei dati personali all’interno della realtà aziendale.

Sarà indispensabile prevedere un piano di formazione comprensivo di un test finale utile alla verifica dell’effettivo apprendimento delle istruzioni fornite e, di conseguenza, strutturare un programma alternativo da utilizzare nel caso in cui il test fornisca esito di apprendimento negativo.

In questo panorama formativo si colloca anche la figura del Responsabile della protezione dei dati (DPO)che , come disciplinato dall’articolo 39 del GDPR, tra i suoi compiti ha quello di occuparsi della formazione del personale che partecipa ai trattamenti ed alle connesse attività di controllo.

La previsione di tale compito a carico del DPO costituisce un ulteriore elemento di garanzia della centralità  della formazione, che, insieme al dovere per il Titolare, di  formare il personale e i collaboratori in conformità al principio di responsabilizzazione sancito dal GDPR, concretizza l’importanza della consapevolezza prima dell’azione.

Avv. Lucia De Martino

//]]>