Il Regolamento privacy europeo 679/16 (Gdpr) prevede l’obbligo della formazione per le pubbliche amministrazioni e imprese in materia di protezione dei dati personali per tutte le figure presenti nell’organizzazione (sia dipendenti che collaboratori). Si tratta di una novità rilevante, in quanto il decreto legge 9 febbraio 2012, n. 5, convertito dalla legge 4 aprile 2012, n. 35, aveva abrogato l’obbligo di formazione precedentemente previsto.
La formazione sulla privacy è sempre stata obbligatoria nel settore sanitario. L’articolo 83 del Codice della Privacy prevedeva infatti l’obbligo delle strutture di attivare “la messa in atto di procedure, anche di formazione del personale, dirette a prevenire nei confronti di estranei un’esplicita correlazione tra l’interessato e reparti o strutture, indicativa dell’esistenza di un particolare stato di salute” e di prevedere “la sottoposizione degli incaricati che non sono tenuti per legge al segreto professionale a regole di condotta analoghe al segreto professionale”.
La centralità della formazione è confermata anche dall’articolo 32 del nuovo Regolamento europeo, che prevede che “il titolare del trattamento e il responsabile del trattamento fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri”.
La formazione costituisce pertanto un prerequisito per poter operare all’interno delle organizzazioni, imprese e pubbliche amministrazioni. Essa dovrebbe, alla luce dell’impianto del Regolamento, presentare un taglio interdisciplinare (con sessioni sia informatiche sia giuridiche sia sui profili organizzativi dell’Ente o Società) e pragmatico e riguardare tutti i soggetti, con il fine di illustrare i rischi generali e specifici dei trattamenti di dati, le misure organizzative, tecniche e informatiche adottate, nonché le responsabilità e le sanzioni.
Nel caso di mancata erogazione della formazione scatta, ai sensi dell’art. 83 par 4 del Regolamento privacy europeo, la rilevante sanzione amministrativa pecuniaria fino a 10 milioni di euro o, per le imprese, fino a 2 % del fatturato mondiale annuo dell’anno precedente se superiore. L’adempimento degli obblighi formativi è oggetto anche di accertamenti ispettivi da parte dell’Autorità Garante privacy e da parte della Guardia di Finanza, che ha rinnovato nel 2016 il protocollo di intesa con l’Autorità.
La formazione costituisce, pertanto, una misura di sicurezza per le organizzazioni, un onere a carico del titolare, un diritto e dovere per i dipendenti e i collaboratori. Gli Enti pubblici le imprese devono pianificare quanto prima un percorso e un piano di formazione, accantonare adeguate risorse in sede di approvazione di bilancio, al fine di arrivare preparati alla scadenza del 25 maggio 2018 (data in cui il Regolamento esplicherà i suoi effetti), prevedere prove finali nel percorso formativo e sessioni di aggiornamento alla luce delle modifiche normative, organizzative e tecniche, individuare un percorso formativo alternativo e un nuovo test di verifica in caso di mancato superamento della prova finale.
Il data protection officer, figura obbligatoria nelle pubbliche amministrazioni e organo di presidio e di controllo, deve anch’esso, ai sensi dell’art. 39 del regolamento, occuparsi della “formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo”.
La previsione di tale compito a carico del DPO costituisce un ulteriore elemento di garanzia della centralità e dell’effettività della formazione, che potrà nella logica del regolamento anche essere oggetto di specifici audit.
La formazione costituisce essa stessa una misura essenziale al fine di garantire un livello di sicurezza adeguato a garanzia del titolare del trattamento, sul quale ricade ogni responsabilità. Il titolare deve dimostrare che il trattamento dei dati sia lecito, corretto, trasparente, pertinente, adeguato, legittimo e che vengano, inoltre, rispettati i principi di minimizzazione, di conservazione dei dati e siano previste misure di sicurezza adeguate.
I dipendenti e i collaboratori potranno, infatti, trattare i dati solo se autorizzati ed entro i limiti delle istruzioni impartite dal titolare, il quale potrà comunque avvalersi come intermediario di altro soggetto debitamente autorizzato.
Il programma e il piano formativo costituiscono, pertanto, dei tasselli rilevanti del cd sistema di gestione privacy in grado di concretizzare il principio di accountability, inteso come capacità di dimostrare di avere adottato misure di sicurezza adeguate.
In ultima analisi, la formazione non deve essere considerata un mero adempimento burocratico, ma un’opportunità per rendere consapevoli gli operatori dei rischi connessi al trattamento dei dati, delle misure di sicurezza, per migliorare i processi organizzativi e i servizi erogati, per evitare danni reputazionali, ridurre i rischi di sanzioni amministrative e rendere più competitiva l’organizzazione.

Leave a Reply

You must be logged in to post a comment.