Il Regolamento (UE) 2016/679 relativo alla protezione dei dati personali, nonché alla libera circolazione degli stessi, ha introdotto l’obbligo di formazione per tutti i dipendenti e collaboratori di aziende e pubbliche amministrazioni che trattano dati personali per conto di un titolare o responsabile del trattamento.
Ricordiamo che un dato personale è “qualsiasi informazione riguardante una persona fisica identificata o identificabile” e quindi, a titolo esemplificativo, anche solo chi accede alla rubrica dei clienti di un’azienda (con nome, cognome e numero di telefono) tratta dati personali.
La norma centrale in tema di formazione rispetto al trattamento dei dati personali è l’art. 29 del Regolamento, in cui si prevede che “il Responsabile del trattamento, o chiunque agisca sotto la sua titolarità o sotto quella del titolare del trattamento, che abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri”. L’art. 32 al paragrafo 4 ribadisce il concetto prevedendo che “il titolare del trattamento e il responsabile del trattamento fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri”.
Dalla lettura delle due disposizioni, benché molto simili tra loro, risulta chiaro che chi non è adeguatamente formato non deve avere accesso a dati personali. Ne consegue che la formazione è obbligatoria per chiunque tratti dati personali e non solo per figure specializzate come, ad esempio, il Responsabile della protezione dei dati (DPO) o il consulente in materia di privacy e protezione dei dati. Inoltre, in caso di controlli che riscontrassero l’assenza di una adeguata formazione, ai sensi dell’art. 83 del Regolamento, può scattare una sanzione amministrativa pecuniaria fino a 10 milioni di euro o fino al 2% del fatturato mondiale annuo dell’anno precedente.
L’obiettivo di tale prescrizione è la consapevolezza di tutti i soggetti coinvolti nel trattamento dei dati personali dei rischi connessi a tali trattamenti, delle misure di sicurezza esistenti, nonché delle responsabilità e delle sanzioni.
Per tale ragione, la formazione non deve essere considerata come un mero adempimento burocratico per le aziende, bensì come un’opportunità di crescita in quanto consentirà, non solo di evitare trattamenti illeciti di dati personali e rischi di sanzioni amministrative, ma anche di migliorare la propria attività sia nell’organizzazione dei processi interni sia nell’erogazione dei servizi ai clienti.
Dunque, cosa fare per adeguarsi a tale obbligo?
Non basta attuare una politica interna di sensibilizzazione sul tema della privacy e protezione dei dati personali, ma bisogna prevedere un programma di formazione specifico per chiunque abbia accesso a tali dati. Tuttavia, il percorso formativo da seguire non è statico e sempre uguale poiché lo stesso deve essere progettato e definito in funzione delle esigenze specifiche dell’azienda. Pertanto, durata, argomenti e modalità di erogazione (in aula o a distanza) saranno scelti in maniera adeguata e cuciti su misura dell’organizzazione. Inoltre, alla fine del percorso devono essere previste prove finali e sessioni di aggiornamento continue.
In conclusione, la formazione per i soggetti autorizzati al trattamento dei dati personali è obbligatoria: aziende e pubbliche amministrazioni devono implementare dei processi formativi che rendano la propria attività conforme al GDPR.
Se stai cercando un percorso formativo in materia di privacy e protezione dei dati adatto alla tua attività o semplicemente hai bisogno di una consulenza sul tema, contatta il numero 0694546258 o scrivi all’indirizzo privacy@cmpsicurezza.it e il nostro team sarà felice di trovare la soluzione perfetta per te!