GDPR: formazione sul trattamento dei dati

Uno degli aspetti fondamentali del processo di adeguamento  è l’obbligo formativo dei dipendenti incaricati di trattare dati personali.

Nel caso di mancata erogazione della formazione scatta, una sanzione amministrativa pecuniaria fino a 10 milioni di euro o, per le imprese, fino a 4% del fatturato mondiale annuo dell’anno precedente.

L’obbligo è confermato secondo cui: “il titolare del trattamento ed il responsabile del trattamento fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri”.

Nel Regolamento viene specificato che “il responsabile del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del titolare del trattamento, che abbia accesso ai dati personali non può trattare tali dati se non è istruito in tal senso dal titolare …

Formazione DPO e personale cioè fra i vari compiti del DPO risulta anche la formazione del personale che come riportato nel GDPR anche dellaformazione del personale che partecipa ai trattamenti ed alle connesse attività di controllo”.La nomina del DPO, lo ricordiamo, è obbligatoria in specifici casi e costituisce elemento di garanzia professionale  per la corretta gestione e  applicazione delle norme.

Se questo ruolo è affidato ad una figura interna,  ricordiamo che dovrà possedere conoscenza specifica della normativa in materia di protezione dei dati.

Qualora tale ruolo è ricoperto da una figura interna bisognerà adottare un percorso formativo “ad hoc” e prevedere un budget di spesa idoneo per permettergli di acquisire tutte le conoscenze specifiche richieste.

Cosa bisogna fare per adeguarsi anche a tale obbligo?

  • prevedere un percorso  di formazione specifico per tutte le persone presenti nell’organigramma aziendale;
  • necessitare delle prove finali così da poter far acquisire le conoscenze appropriate anche a chi non dovesse superare il test finale
  •  utilizzare le risorse adeguate;
  • dare a tutto il personale la possibilità di accedere al materiale formativo
  • sensibilizzare il personale sul valore della protezione dei dati personali nonché sull’uso consapevole e responsabile dei mezzi aziendali

Riguardo al personale autorizzato è da precisare che i dipendenti e i collaboratori potranno, infatti, trattare i dati solo se autorizzati.

Ovviamente il percorso formativo seguirà i seguenti elementi essenziali:

  • i profili organizzativi dell’azienda (o P.A.);
  • le modalità di erogazione (in aula o a distanza);
  • il target, i prerequisiti, le finalità generali di ciascuna sessione formativa;
  • le priorità di intervento (in primis il personale autorizzato al trattamento dei dati, tutti coloro che trattano dati personali);
  • previsioni di budget (anche per la formazione del DPO).

Il percorso formativo sarà personalizzato in funzione dell’organizzazione al fine di analizzare in maniera specifica i vari punti critici.

La formazione costituisce, un punto fondamentale per la compliance al nuovo Regolamento Ue sulla privacy, secondo il principio di accountability (o responsabilizzazione), inteso come la capacità del titolare di dimostrare di aver adottato tutte le misure adeguate per la protezione dei dati personali trattati oltre che tutti i sistemi organizzativi interni necessari, compresa la sensibilizzazione del personale.