GDPR, Formazione obbligatoria Privacy

formazione gdpr

Il General Data Protection Regulation in materia di trattamento dei dati personali sancisce l’obbligo della formazione per P.A. e imprese mediante la pianificazione di adeguati sistemi di gestione e l’adozione di misure organizzative adatte a garantire la protezione del diritto alla privacy degli interessati.

Poiché scopo del GDPR è evitare la divulgazione illecita o l’impiego inesatto dei dati sensibili, la nuova normativa impone alle aziende innanzitutto il dovere di stabilire i limiti entro i quali ciascun dipendente o collaboratore  abbia accesso ai dati personali ma anche quello di garantire al personale aziendale una formazione costante ed aggiornata che determini una maggior cognizione di ciò che è lecito e possibile fare in termini di legge in materia di trattamento di dati personali.

A differenza della normativa precedente, il nuovo GDPR non prevede la figura dell’incaricato del trattamento ma tuttavia non sembra escluderla in quanto rimanda espressamente a “persone autorizzate al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile”.

Non a caso, l’Art. 39 prevede tra i compiti affidati al c.d. DPO, quello di “informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal presente regolamento nonché da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati”.

L’impresa dunque avrà il compito di stabilire non solo i limiti entro i quali i dipendenti (lavoratori e collaboratori) hanno diritto di accedere ai dati personali sulla base delle mansioni assegnate ma anche il dovere di garantire all’intero personale aziendale una formazione costante e aggiornata. Non a caso, in difetto di formazione l’Art. 83 dispone la sanzione amministrativa pecuniaria fino a 10 milioni di euro, o per le imprese fino a 2% del fatturato mondiale annuo dell’anno precedente se superiore.

Tema centrale della nuova normativa è dunque quello della formazione; in particolare, se l’art. 29 del Regolamento prevede che “il responsabile del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del titolare del trattamento, che abbia accesso ai dati personali non può trattare tali dati se non è istruito in tal senso dal titolare” , l’art. 32  in materia di “Sicurezza del trattamento” a conferma di ciò dispone che “il titolare del trattamento ed il responsabile del trattamento fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri”.

Pertanto, Enti pubblici e imprese dovranno pianificare un percorso e un piano di formazione con prove finali e sessioni di aggiornamento, destinare risorse specifiche per la formazione dei Data protection Officer e dei componenti del team, prevedere esami di verifica e test finali.

I percorsi formativi previsti dal Regolamento europeo 679/16 diretti al personale e ai collaboratori realizza il principio di La formazione dunque non costituisce più una mera esecuzione burocratica e documentale ma rappresenta invece una pre-condizione necessaria per operare all’interno di qualsiasi organizzazione, impresa o Pubblica Amministrazione. La ratio della nuova normativa è quella di rendere cosciente e responsabile il personale addetto relativamente ai rischi connessi al trattamento dei dati ma anche di tutte le misure di sicurezza che risultino necessarie per il miglioramento dei processi aziendali.

Soltanto attraverso una formazione valida ed efficace è possibile realizzare il c.d. principio di “accountability” ossia di responsabilizzazione dell’Incaricato al Trattamento, in base al quale il titolare deve dimostrare che il trattamento dei dati sia lecito, legittimo e trasparente e che siano state rispettate le misure di sicurezza previste. I dipendenti e i collaboratori, potranno trattare i dati solo se autorizzati ed entro i limiti delle istruzioni impartite dal titolare.

//]]>