Gli obblighi di formazione nel Regolamento UE

Il Regolamento Privacy Europeo 679/2016 ha introdotto nuovi e specifici obblighi di formazione privacy in capo a tutti i Titolari del Trattamento. Questo, a ben vedere, non costituisce una assoluta novità, in quanto il punto 19.6 del “Disciplinare tecnico in materia di misure minime di sicurezza” (soppresso insieme al Documento Programmatico sulla Sicurezza dall’art. 45, comma 1, lett. d), del decreto legge 9 febbraio 2012, n. 5) recitava espressamente:

la previsione di interventi formativi degli incaricati del trattamento, per renderli edotti dei rischi che  incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal titolare. La formazione è programmata già al momento dell’ingresso in servizio, nonchè in occasione di cambiamenti di mansioni, o di introduzione di nuovi significativi strumenti, rilevanti rispetto al trattamento di dati personali;

L’articolo 32, comma 4 del Regolamento 679/2016, dispone che chiunque “ […] abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento […]”.

L’articolo 39, comma 1, lettera b), inoltre, prevede espressamente che rientri tra i compiti del Responsabile per la Protezione dei Dati (aka Privacy Officer) “[…] sorvegliare l’osservanza […] delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi […] la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo”.

Sempre il Privacy Offficer avrà il compito di “informare […] i dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal […] regolamento nonché da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati

Dalla semplice lettura degli articoli riportati, si evidenzia chiaramente come il Regolamento Europeo Privacy (GDPR) consideri la formazione privacy una fondamentale e generale misura per garantire un livello adeguato di sicurezza dei dati personali.

Tra l’altro è bene ricordare che il principio di responsabilizzazione (accountability) impone al Titolare un nuovo approccio rispetto all’obbligo formativo, più formale e strutturato:

  • è ineludibile approvare per iscritto il piano formativo annuale per gli incaricati del trattamento;
  • al termine di ogni incontro formativo è importante prevedere un test finale per poter dimostrare il raggiungimento degli obiettivi didattici e l’effettivo efficacia della formazione privacy.

Si ricorda, infine, che la violazione degli obblighi di formazione comporta pesanti sanzioni amministrative, che possono arrivare fino a € 10.000.000 (o fino al 2 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore).

Luca Zenarolla

Avvocato, mi occupo sin dai tempi dell'Università di diritto delle nuove tecnologie. Sono il presidente del Centro Innovazione & Diritto.

Lascia un commento