Cerchiamo di analizzare il perché la formazione riveste un ruolo fondamentale per il corretto trattamento di dati personali. Esaminiamo di seguito i ruoli rivestiti da una puntuale formazione (sia in fase di assunzione sia in caso di cambio di ruolo aziendale).
Formazione quale strumento di “accountability”
Il Regolamento UE 2016/679 (GDPR) pone con forza l’accento sulla “responsabilizzazione” (accountability) di titolari e responsabili del trattamento dati – ossia, sull’adozione di comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione del regolamento (si vedano artt. 23-25, in particolare, e l’intero Capo IV del regolamento). Ai titolari il compito di decidere autonomamente le modalità, le garanzie e i limiti del trattamento dei dati personali – nel rispetto delle disposizioni normative.
Formazione quale “data protection by default and by design”
Uno dei criteri principali per dimostrare l’accountability e avere implementato per i trattamento di dati personali la cosiddetta “data protection by default and by design” (si veda art. 25 GDPR), ossia dalla necessità di configurare il trattamento prevedendo fin dall’inizio le garanzie indispensabili “al fine di soddisfare i requisiti” del regolamento e tutelare i diritti degli interessati – tenendo conto del contesto complessivo ove il trattamento si colloca e dei rischi per i diritti e le libertà degli interessati.
Tutto questo deve avvenire a monte, prima di procedere al trattamento dei dati vero e proprio (“sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso”, secondo quanto afferma l’art. 25(1) del regolamento) e richiede, pertanto, un’analisi preventiva e un impegno applicativo da parte dei titolari che devono sostanziarsi in una serie di attività specifiche e dimostrabili.
Formazione quale consapevolezza
Sviluppando una cultura della “consapevolezza della data protection” e assicurando di sviluppare politiche e procedure tenendo presente la protezione dei dati.
Dal punto di vista dei dipendenti e collaboratori che trattano dati personali, la formazione ha un ruolo determinante per la gestione della privacy, giorno per giorno, per evitare data breach o per saperli affrontare con le giuste contromisure in tempi celeri.
Cosa ci dice la normativa sulla formazione/istituzioni
Il GDPR prevede l’obbligo in capo ai Titolari e ai Responsabili del trattamento dati l’istruzione delle persone fisiche che trattano dati personali. In particolare, devono essere formati i dipendenti e i collaboratori. Il GDPR ha ripreso in più articoli il concetto della formazione, rimarcando l’importanza della stessa in materia di protezione dei dati.
Secondo l’articolo 29 del GDPR il responsabile del trattamento dei dati, o chiunque agisca sotto la sua autorità, e che abbia accesso ai dati personali, deve essere istruito dal titolare del trattamento.
Nell’Art. 2-quaterdecies del D.Lgs 196/2003 armonizzato al GDPR (Attribuzione di funzioni e compiti a soggetti designati) si indica che il titolare o il responsabile del trattamento possono prevedere che specifici compiti e funzioni connessi al trattamento di dati personali siano attribuiti a persone fisiche, espressamente designate, che operano sotto la loro autorità. Il titolare o il responsabile del trattamento individuano le modalita’ piu’ opportune per autorizzare al trattamento dei dati personali le persone che operano sotto la propria autorità diretta.
La formazione quale sensibilizzazione, tra i compiti del DPO/RPD
Nell ’articolo 39 par. 1 lettera b) si sottolinea l’importanza del ruolo del Data Protection Officer (DPO/RPD) per la formazione, infatti è specificato che “Il DPO deve curare la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle attività di controllo”.
La formazione quale garanzia dei diritti degli interessati
La formazione gioca un ruolo essenziale per evitare errori e comunicazioni omesse, ritardate o non corrette agli interessati.
Oggi la normativa vigente impone in maniera esplicita, e a più riprese, che la preparazione dei soggetti attivi nel trattamento dei dati (persone fisiche autorizzati/designati), a seconda del ruolo che ricoprono, per consentire agli “interessati del trattamento dati” di esercitare i loro diritti come previsto dagli artt. da 15 a 22 del GDPR e per evitare spiacevoli segnalazioni e reclami degli interessati alla Autorità di Controllo (Garante) o altri organi preposti alla tutela dei dati personali.
L’obbligo di istruzione pertanto riguarda il titolare del trattamento dei dati, ma anche il responsabile del trattamento dei dati che deve verificare la formazione ed il suo aggiornamento nel tempo, e ancora i direttori delle risorse umane, i dirigenti, gli sviluppatori in campo informatico e direttori di unità commerciali. Fondamentale è che siano stanziate risorse sufficienti per la formazione del personale.
La formazione quale misura di sicurezza
In rif. all’Articolo 32 GDPR, par 4 “chiunque agisca sotto l’autorità del titolare e abbia accesso ai dati personali, non deve trattare tali dati se non è istruito in tal senso dal titolare del trattamento,” ciò dimostra una volta di più l’importanza di questo adempimento, ma anche l’opportunità di “personalizzare” i percorsi formativi in base alle esigenze del titolare.
Sanzioni previste
La formazione non deve in alcun modo essere sottovalutata. Infatti, in caso di mancata erogazione, potrebbe scattare, ai sensi dell’articolo 83 del GDPR, una sanzione amministrativa fino a 10 milioni di euro o fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente (violazione obblighi del titolare a norma dell’art. 29 del GDPR).
Inoltre andranno stabilite anche eventuali responsabilità. In particolare, il titolare del trattamento è tenuto a dimostrare la conformità delle attività di trattamento con il regolamento, compresa l’efficacia delle misure (art. 5 par. 2 GDPR).
In conclusione…buona formazione a tutti!
