Il GDPR (Regolamento UE 679/2016) ha ribadito e ulteriormente fissato gli obblighi formativi in ambito privacy per tutte le figure coinvolte nel trattamento dati: dal DPO fino ai lavoratori tutti devono sapere il valore del dato personale e prestare attenzione alle modalità con cui viene trattato all’interno del contesto aziendale.
La formazione in ambito privacy è obbligatoria?
La risposta a questa domanda è molto semplice: SI. L’articolo 39.1.b del Regolamento 679/2016, prevede tra i compiti del Data Protection Officer (DPO), quello di
“sorvegliare l’osservanza […] delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi […] la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo”.
Inoltre, l’obbligo formativo è richiamato anche dall’art. 32.4 che ammonisce che “chiunque abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento”.
Quindi il Titolare e/o il Responsabile del Trattamento dovranno accordarsi con il DPO per stabilire che, all’interno del piano formativo aziendale, siano trattati anche i temi relativi alla privacy, in special modo per i neoassunti ma anche nei casi di cambio di ruolo/funzione o nel caso siano introdotte nuove procedure o tecnologie. Per tenere sotto controllo tutte queste esigenze formative e quindi il gap tra il fabbisogno formativo del personale e la formazione effettivamente ricevuta, può essere utilizzato il modulo “Gestione della formazione” di Q-81 HSE WEB APP.
Le sanzioni amministrative pecuniarie previste in caso di violazione dell’articolo 39 del Reg. 679/2016 posso essere rilevanti, tuttavia, possono essere altrettanto rilevanti le conseguenze degli errori commessi da personale privo di una adeguata cultura della privacy. In questo senso spesso le aziende si sono focalizzate sugli adempimenti formali (Registro dei Trattamenti, consenso…) tralasciando un aspetto che Nord Pas, invece, include sempre all’interno della propria offerta consulenziale in quest’ambito.
Chi deve essere formato secondo il GDPR?
Anche in questo caso la risposta viene direttamente dall’articolo 39.1.b del Regolamento 679/2016, ove vengono indicati come destinatari delle formazione il “personale che partecipa ai trattamenti e alle connesse attività di controllo”. Nella sua attività il DPO deve individuare il personale che partecipa ai trattamenti e predisporre, per ogni funzione aziendale, un’adeguata formazione utile all’esercizio delle proprie attività, nella tutela del dato personale proprio e di terzi e nel rispetto delle policy di sicurezza definite dall’organizzazione.
Gli obiettivi che l’organizzazione dovrebbe prefissarsi di raggiungere attraverso le attività formative in ambito privacy sono:
- Informare tutti gli interessati sui principi generali del GDPR, sui concetti e sulla terminologia introdotta dal Regolamento
- Formare il personale sulla politica aziendale in materia di privacy, sulle procedure e sulle prassi relative ai processi aziendali nei quali vengono trattati dati personali.
Come deve essere erogata la formazione in materia di privacy?
Il GDPR, pur prescrivendo l’obbligo di formazione, non ne specifica modalità e contenuti: la scelta spetta quindi al DPO e al Titolare del Trattamento che devono garantire la trasmissione e la comprensione della propria policy e delle procedure operative, che compongono il sistema di gestione della privacy aziendale,al personale interessato.
Gli strumenti che possono essere utilizzati per realizzare l’attività informativa e formativa sono molteplici. Il momento informativo può essere realizzato vantaggiosamente con l’utilizzo dell’e-learning. Avere a disposizione un corso online consente all’organizzazione:
- Fornire una formazione di base sulla norma ripetibile;
- Dare facilità di accesso anche a lavoratori che non dispongono di postazioni fisse (es. attraverso un tablet);
- Costi contenuti
Il seconda battuta la formazione può essere erogata direttamente dalle funzioni aziendali (es. capo area o capo ufficio) o dal DPO con brevi sessioni pratiche in aula, che si soffermino sulle attività consuete che il lavoratore deve effettuare nel rispetto del DGDP, oppure sfruttando lo strumento dei gruppi di lavoro, per unire alla formazione, la condivisione di problematiche e buone prassi.
Quale formazione deve avere il DPO?
Il GDPR si occupa anche della formazione del DPO e, anche in questo caso, il legislatore non ha definito strettamente i contenuti di tale percorso specificando tuttavia che “non sono richieste attestazioni formali o l’iscrizione ad appositi albi professionali, anche se la partecipazione a master e corsi di studio/professionali può rappresentare un utile strumento per valutare il possesso di un livello adeguato di conoscenze”. Tali conoscenze devono essere mantenute aggiornate, soprattutto in relazione al rapido modificarsi della normativa e delle prassi di gestione dei dati personali, soprattutto per quanto riguarda le misure tecniche ed organizzative atte a garantire la sicurezza dei dati.
Nord Pas offre il servizio di DPO esterno attraverso propri tecnici qualificati che hanno seguito percorsi professionali specifici e che partecipano periodicamente ad iniziative formative di alto livello per restare aggiornati sui temi della privacy e della sicurezza informatica.