La formazione aziendale in ambito privacy è necessaria per rendere i soggetti autorizzati consapevoli dei trattamenti di dati personali che svolgono quotidianamente, ma anche per limitare i rischi correlati dal trattamento dei dati stessi e le sanzioni in caso di inadempimento.
Il GDPR, ossia il Regolamento generale (Ue) sulla protezione dei dati personali 2016/679, è ormai una realtà con la quale tutti i soggetti pubblici e privati devono confrontarsi nella prassi quotidiana
quando vogliono o devono trattare dati in qualsiasi contesto.
Cosa prevede il Regolamento (UE) 2016/679 (GDPR) in materia di formazione?
Gli artt. 29, 32 e 39 del Regolamento privacy sanciscono l’obbligo di formazione per tutti i dipendenti, ovvero:
- l’articolo 29 evidenzia come “il responsabile del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del titolare, che abbia accesso ai dati personali non può trattare tali dati se non è istruito in tal senso dal titolare”.
Tale obbligo di formazione si inserisce all’interno del più ampio obbligo previsto dall’articolo 32 del GDPR, il quale prevede che “il titolare del trattamento ed il responsabile del trattamento fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri”.
Rientra, pertanto, tra le misure di sicurezza che dovranno essere applicate dal titolare e dal responsabile del trattamento l’adozione di un piano di formazione, il quale consentirà di incrementare la consapevolezza dei dipendenti in relazione al proprio ruolo e mansione, ridurre i rischi correlati, al fine di garantire un livello di sicurezza adeguato a garanzia del Titolare del trattamento, sul quale ricade ogni responsabilità.
Come formare i dipendenti incaricati del trattamento dei dati personali?
Il GDPR, pur prescrivendo l’obbligo di formazione, non ne specifica modalità e contenuti: la scelta spetta quindi al DPO e al Titolare del Trattamento che devono garantire la trasmissione e la comprensione della propria policy e delle procedure operative, che compongono il sistema di gestione della privacy aziendale, al personale interessato.
La formazione deve essere finalizzata ad illustrare i rischi generali e specifici dei trattamenti di dati, le misure organizzative, tecniche ed informatiche adottate, nonché le responsabilità e le sanzioni.
L’adempimento dell’obbligo formativo si concretizza nella partecipazione a un corso iniziale e periodiche attività di aggiornamento.

Sanzioni e accertamenti da parte del Garante privacy
L’obbligo formativo non deve essere in alcun modo sottovalutato: nel caso di mancata erogazione della formazione scatta, infatti, ai sensi dell’art. 83 par 4 del Regolamento privacy europeo, la rilevante sanzione amministrativa pecuniaria fino a 10 milioni di euro o, per le imprese, fino a 2 % del fatturato mondiale annuo dell’anno precedente.
L’adempimento degli obblighi formativi è sovente oggetto anche di accertamenti ispettivi da parte dell’Autorità Garante privacy e da parte della Guardia di Finanza che ha rinnovato nel 2016 il protocollo di intesa con l’Autorità.
Il Garante, in diversi casi, in sede ispettiva ha richiesto, infatti, di acquisire il programma ed il piano di formazione, le dispense, i materiali erogati, il test finale ed ha analizzato il profilo delle istruzioni agli incaricati al trattamento connesse all’accesso, alla consultazione delle banche dati, i livelli di autorizzazione e policy aziendali (ad esempio in materia di password aziendali e di videosorveglianza).
Scopri il nostro servizio di consulenza e implementazione del sistema di gestione privacy – clicca qui