Privacy: quando è obbligatorio formare i dipendenti che trattano dati in azienda

La formazione dei soggetti autorizzati al trattamento di dati personali è fondamentale per gestire le procedure correttamente, limitare i rischi correlati dal trattamento dei dati stessi e le sanzioni in caso di inadempimento.

Il GDPR, ossia il Regolamento generale (Ue) sulla protezione dei dati personali 2016/679, è ormai una realtà con la quale tutti i soggetti pubblici e privati devono confrontarsi nella prassi quotidiana quando vogliono o devono trattare dati in qualsiasi contesto.

Cosa prevede il Regolamento (UE2016/679 (GDPR) in materia di formazione?

Gli artt. 29, 32 e 39 del Regolamento privacy sanciscono l’obbligo di formazione per tutti i dipendenti, ovvero:

  • l’articolo 29 evidenzia come “il responsabile del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del titolare, che abbia accesso ai dati personali non può trattare tali dati se non è istruito in tal senso dal titolare”.

Tale obbligo di formazione si inserisce all’interno del più ampio obbligo previsto dall’articolo 32 del GDPR, il quale prevede che “il titolare del trattamento ed il responsabile del trattamento fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri”.

Rientra, pertanto, tra le misure di sicurezza che dovranno essere applicate dal titolare e dal responsabile del trattamento l’adozione di un piano di formazione, il quale consentirà di incrementare la consapevolezza dei dipendenti in relazione al proprio ruolo e mansione, ridurre i rischi correlati, al fine di garantire un livello di sicurezza adeguato a garanzia del Titolare del trattamento, sul quale ricade ogni responsabilità.

Come formare i dipendenti incaricati del trattamento dei dati personali?

Il GDPR, pur prescrivendo l’obbligo di formazione, non ne specifica modalità e contenuti: la scelta spetta quindi al DPO e al Titolare del Trattamento che devono garantire la trasmissione e la comprensione della propria policy e delle procedure operative, che compongono il sistema di gestione della privacy aziendale, al personale interessato.

La formazione deve essere finalizzata ad illustrare i rischi generali e specifici dei trattamenti di dati, le misure organizzative, tecniche ed informatiche adottate, nonché le responsabilità e le sanzioni.

L’adempimento dell’obbligo formativo si concretizza nella partecipazione a un corso iniziale e periodiche attività di aggiornamento.

Webinar PRIVACY e GDPR

Sanzioni e accertamenti da parte del Garante privacy

L’importanza dell’adempimento degli obblighi di formazione non può essere minimizzata: se la formazione non viene fornita, infatti, ai sensi dell’articolo 83, paragrafo 4 del Regolamento europeo sulla privacy, si applica una sanzione amministrativa pecuniaria significativa fino a 10 milioni di euro o, per le aziende, fino al 2% del fatturato mondiale annuo dell’anno precedente.

Il rispetto dei doveri formativi è spesso soggetto anche a verifiche ispettive da parte dell’Autorità Garante per la protezione dei dati personali e dalla Guardia di Finanza, che ha rinnovato nel 2016 l’accordo con l’Autorità.

In molteplici situazioni, durante le ispezioni, il Garante ha richiesto il programma, il piano di formazione, i manuali, i materiali forniti e ha esaminato le direttive date ai soggetti autorizzati al trattamento relative a: accesso, consultazione dei database, livelli di autorizzazione e le politiche aziendali (per esempio riguardanti le password aziendali e la videosorveglianza).

Scopri il nostro servizio di consulenza e implementazione del sistema di gestione privacy – clicca qui

Fonte: Codice Privacy e Normativa italiana

Ti piacciono i nostri contenuti?

Non perderti nessuna novità con la newsletter SGI | Sistemi Gestione Integrata

Appuntamento mensile dedicato agli aggiornamenti normativi e adempimenti in materia di salute, sicurezza sul lavoro, ambiente, sistemi di gestione e privacy. Uno strumento utile per essere sempre aggiornati, conoscere le nostre attività formative ed eventi e condividere le informazioni con i collaboratori.

Iscriviti alla newsletter SGI - sicurezza sul lavoro