Predisporre le informative, il registro dei trattamenti, la valutazione d’impatto, nominare responsabili del trattamento e incaricati al trattamento è sufficiente per adempiere gli obblighi previsti dal GDPR? Non del tutto: manca la formazione sulla privacy!
Quali sono le caratteristiche della formazione privacy?
Non esistono riferimenti specifici in relazione a durata e contenuti della formazione in materia di privacy, né in merito alla frequenza di aggiornamento. La logica è quella di formare il personale che partecipa al trattamento dei dati (a partire da chi ha accesso permanente o regolare ai dati) e alle attività di controllo in funzione del tipo di dati trattati, dei trattamenti effettuati e delle misure di protezione messe in atto dal titolare del trattamento.
In termini di aggiornamento sarà la variazione di una di queste componenti (dati, trattamenti e sistemi di protezione) a richiedere di adeguare la formazione degli addetti, piuttosto che una variazione della funzione dell’addetto che comporti un diverso accesso ai dati o diverse modalità di trattamento e di gestione.
Come ogni altro aspetto della gestione privacy rispetto al GDPR, quindi, anche la formazione risulta una misura che il titolare deve definire in modo autonomo in funzione dei rischi per la protezione dei dati che ha individuato e valutato.
Chi dice che è obbligatoria?
La formazione può essere una misura organizzativa che il titolare ha definito come necessaria per garantire il rispetto delle procedure di trattamento e protezione dei dati che ha deciso di attuare. E questo sarebbe di per sé sufficiente a rendere obbligatoria l’attività di formazione.
Ma il GDPR ha previsto in maniera esplicita l’obbligo di formazione all’articolo 29:
Il responsabile del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del titolare del trattamento, che abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri.
Detto n altre parole, l’articolo 29 dice che, con l’eccezione dei casi in cui il trattamento è previsto dal diritto dell’Unione Europea o degli Stati membri dell’Unione, tanto i responsabili quanto gli incaricati non sono autorizzati a trattare i dati personali se non sono stati formati (istruiti) dal titolare del trattamento.
Se ne può occupare il responsabile della protezione dei dati?
La premessa essenziale è che il responsabile della protezione dei dati (o data protection officer – DPO) non è una figura obbligatoria in tutte le organizzazioni, ma è una “prerogativa” delle autorità pubbliche e delle organizzazioni che effettuano trattamenti su larga scala.
Il DPO è sicuramente una figura competente in materia, dato che uno dei requisiti per svolgere la funzione è quella della “conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati“. Il problema si pone più che altro rispetto alla finalità del suo compito, che è informativa e di consulenza verso il titolare e il responsabile del trattamento, e di vigilanza in relazione agli aspetti di formazione del personale.
Sarebbe quindi opportuno che la formazione non venisse svolta da un soggetto qualificato come DPO all’interno della struttura per la quale svolge tale funzione.
Ma ci sono sanzioni?
L’obbligo di formazione non deve essere sottovalutato in quanto la violazione dell’art. 29 che la prevede è soggetta a sanzioni amministrative pecuniarie. La norma parla di numeri che fanno paura (sanzioni fino a 10 milioni di euro o, per le imprese, fino al 2 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore). L’ammontare effettivo dipende da una serie di fattori che sono oggetto di valutazione da parte del Garante (ex. natura, gravità e durata della violazione, carattere doloso o colposo della violazione). Questo non toglie il fatto che la mancata formazione in materia di privacy risulta una violazione sanzionabile .