Shopping cart
€0,00

Quando è obbligatorio istruire i dipendenti sulla Privacy GDPR

Regolamento europeo sulla Privacy: formazione

Regolamento europeo sulla Privacy: formazioneQuando entra in vigore una nuova normativa, la prima cosa per cui ci si informa è come potersi aggiornare al fine di non rimanere estranei ad informazioni essenziali e risultare impreparati in merito.

Corsi di formazione alla privacy obbligatori e non, gratuiti o a pagamento, sono solitamente la prima scelta a cui ognuno di noi ambisce.

Poi c’è chi, per mancanza di tempo, cerca di reperire informazioni online. Abbiamo detto che il 2018 è stato un anno particolare, specialmente per gli adeguamenti in ambito privacy e l’entrata in vigore del GDPR: in questo caso è sufficiente reperire qualche dettaglio oppure servono delle vere e proprie istruzioni date dagli esperti?

Una delle perplessità che l’applicazione del Regolamento europeo sulla protezione dei dati personali porta con sé, concerne proprio l’obbligo di formazione in ambito privacy.

Cerchiamo di fare chiarezza sul punto attenendoci a quanto previsto dalla normativa di riferimento.

FORMAZIONE OBBLIGATORIA, SÌ O NO?

Iniziamo subito facendo chiarezza: l’art.29 stabilisce che “Il responsabile del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del titolare del trattamento, che abbia accesso ai dati personali non può trattare tali dati se non è istruito in tal senso dal titolare ….

Non solo, torniamo sempre a focalizzarci sulla figura centrale del Regolamento: riguardo i compiti assegnati al D.P.O., l’articolo 39, al paragrafo 1, lettera b) include tra i controlli dell’osservanza del regolamento, anche la formazione del personale che partecipa ai trattamenti.

Insomma, possiamo già rispondere alla domanda che ha dato al via a questo paragrafo: la formazione per i dipendenti è obbligatoria!

Un filo conduttore, molto più robusto di quanto si possa immaginare ad un’occhiata poco attenta, collega le norme che si sono succedute nel tempo sull’obbligo di formazione del personale coinvolto nel trattamento dei dati personali. La normativa vigente impone in maniera esplicita e a più riprese di fornire un’adeguata preparazione ai soggetti attivi nel trattamento, a seconda del preciso ruolo da questi ricoperto.

Si tratta propriamente di una condicio sine qua non per l’accesso ai dati di tutti coloro che prestano attività lavorativa all’interno dell’Ente o dell’Azienda di riferimento.

PERCHÉ ISTRUIRE I DIPENDENTI È IMPORTANTE

Una volta precisato che istruire i dipendenti rimane precisa responsabilità del Titolare del Trattamento, sul Responsabile della Protezione dei Dati ricade il controllo dell’efficacia della formazione e il suo mantenimento nel corso del tempo.

A ben vedere, non servono ulteriori conferme, la formazione sulla privacy è da fare, anche perché senza formazione e istruzione, il sistema di gestione sarà sempre in qualche modo carente e fragile, oltre al fatto che stando a quanto previsto dall’art.29, costituisce uno dei prerequisiti per poter accedere ai dati e di conseguenza per poter operare all’interno delle Organizzazioni interessate.

Nonostante la normativa preveda esplicitamente la necessità di istruire adeguatamente gli incaricati al trattamento dei dati, questo aspetto rimane molto spesso inconsapevole e sottovalutato.

Il motivo? Possiamo iniziare dalla scarsa attenzione sino ad arrivare alle poche indicazioni ricevute in merito.

L’istruzione a livello pratico è volta ad evitare che eventuali condotte inconsapevoli od omissioni possano da una parte pregiudicare il funzionamento delle infrastrutture informatiche e dall’altra compromettere la sicurezza delle informazioni.

CHI HA L’OBBLIGO DI ESSERE FORMATO?

Dai paragrafi precedenti emerge che l’obbligo di formazione ricade in capo a coloro che trattano i dati all’interno dell’Organizzazione o dell’Ente considerato, ossia gli “incaricati al trattamento dei dati” del Codice Privacy.

Inoltre, sarebbe opportuno che, le persone che figurano come referenti del processo di gestione del sistema privacy all’interno dell’Organizzazione, ricevessero una formazione più specifica, essendo preposti alla gestione e al coordinamento di un sistema piuttosto articolato.

COME FORMARE GLI INCARICATI?

Appurata l’esistenza dell’obbligo di formazione, consideriamo ora le diverse forme con cui i dipendenti possono essere istruiti.

Non ci sono particolare reindirizzamenti previsti dal Regolamento. Pertanto, ci si affida alla discrezionalità del Titolare nella scelta di corsi di formazione tenuti da specialisti della materia, piuttosto che optare per la trasmissione di informazioni in ambito privacy, mediante la consegna di appositi manuali atti a riprodurre i contenuti del Regolamento europeo ed in particolare gli obblighi da osservare da parte di chi accede ai dati personali.

Sulla tipologia di formazione influisce chiaramente la mole di dati trattati e la natura degli stessi.

Una conoscenza approssimativa delle regole da seguire per garantire il corretto utilizzo dei dati viene impartita anche attraverso le lettere di incarico che coloro che agiscono sotto l’autorità del Titolare ricevono.

Prescindendo dalla modalità in cui la formazione viene eseguita, è necessario tener presente che nel complesso dovrebbe essere finalizzata ad illustrare i rischi generali e specifici dei trattamenti dei dati, le misure organizzative e tecniche adottate, nonché le responsabilità e le sanzioni.

Cosa fondamentale è ricordare di tenere traccia delle attività svolte, attraverso la conservazione di semplici attestati di partecipazione al corso, test valutativi o dichiarazioni di varia natura in grado di provare la trasmissione di informazioni in materia di protezione dei dati personali.

Infatti, dalle analisi condotte è emerso che l’osservanza degli obblighi formativi è di frequente oggetto di verifica da parte del Garante. In diversi casi, in sede ispettiva, sono stati richiesti i programmi e i piani di formazione, oltre a dispense, materiali erogati e test finali.

LE SANZIONI

Attenzione! L’inosservanza degli obblighi formativi comporta l’applicazione dell’art.83, paragrafo 4, ossia la comminazione di una sanzione di natura pecuniaria a carico del Titolare, il cui valore potrebbe ammontare sino a 10 milioni di euro o, per le imprese, fino al 2 % del fatturato mondiale annuo dell’anno precedente se superiore.

 

Approfondimenti
Previous reading
ASPP: compiti, formazione e aggiornamenti
Next reading
Un po’ di storia sulla sicurezza sul lavoro