Formazione privacy obbligatoria con il GDPR
09/04/2018
formazione GDPR

Il nuovo Regolamento privacy europeo 679/16, o GDPR, prevede per pubbliche amministrazioni e imprese l’obbligo di formazione in materia di protezione dei dati personali, in capo a tutte le figure presenti nell’organizzazione, sia dipendenti che collaboratori. All’art.29 il regolamento prevede infatti che “il responsabile del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del titolare del trattamento, che abbia accesso ai dati personali non può trattare tali dati se non è istruito in tal senso dal titolare …”.

La centralità della formazione è quindi ribadita anche dall’art. 32 ‘Sicurezza del trattamento’, che al paragrafo 4 prevede che “il titolare del trattamento ed il responsabile del trattamento fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri”.

La formazione in materia costituisce quindi un prerequisito per poter operare all’interno di organizzazioni, imprese e pa. Stando a quanto previsto dal regolamento, la formazione deve avere carattere interdisciplinare, sia per sessioni, informatiche e giuridiche e sui profili organizzativi dell’ente o della società, dever avere taglio pragmatico e riguardare tutti i soggetti. Nello specifico, la formazione deve illustrare i rischi generali e specifici dei trattamenti di dati, le misure organizzative, tecniche e informatiche adottate nell’organizzazione, oltre a responsabilità e sanzioni.

Sanzioni che scattano anche in caso di mancata erogazione della formazione obbligatoria, ai sensi dell’art.83 par 4 del GDPR che prevede una sanzione amministrativa pecuniaria fino a 10 milioni di euro, o fino al 2% del fatturato mondiale annuo per le imprese. Accertamenti ispettivi sull’adempimento degli obblighi formativi sono quindi possibili da parte dell’Autorità Garante privacy e della Guardia di Finanza.

Tra le misure e le azioni consigliate in questo articolo su AgendaDigitale, a cura di Mauro Alovisio, avvocato e docente del corso di formazione del Data protection officer presso l’Università degli studi di Torino, e di Costanza Mottino, avvocato ed esperto in data protection, ci sono quindi la progettazione di percorsi e piani di formazione adeguati, previa analisi e individuazione di: fabbisogni formativi, struttura dell’ente o dell’impresa, profili organizzativi, target, prerequisiti e finalità generali e specifiche di ciascuna sessione formativa, oltre alle relative modalità di erogazione. In vista della formazione in particolare del Data protection officer, e dei membri del team, occorre prevedere risorse specifiche a livello di budget.

Programma e piano formativo rappresentano quindi elementi chiave del sistema di gestione privacy che concretizzano il principio di accountability, ossia di responsabilizzazione del Titolare del trattamento intesa come capacità di dimostrare di avere adottato adeguate misure di sicurezza. I due esperti suggeriscono in particolare a tale riguardo di pubblicare il piano e i relativi materiali formativi nella sezione intranet aziendale. Sarebbe inoltre consigliabile anche prevedere sessioni informative on line per sensibilizzare anche gli utenti sul valore della protezione dei dati personali, e sull’utilizzo consapevole e responsabile di internet.

La formazione vista in questa prospettiva può diventare così non solo un adempimento burocratico obbligatorio, ma anche un’opportunità per aumentare la consapevolezza tra gli operatori dei rischi connessi al trattamento dei dati, migliorando processi, servizi erogati e competitività ed evitando danni reputazionali e sanzioni amministrative.

A un anno di distanza dal varo del Piano Nazionale Industria 4.0 è tempo di un primo bilancio ma anche…