Pubblicato il: 18 09 2019
  • GDPR
  • Formazione privacy

Si tratta di una novità rilevante in materia di protezione dei dati personali. L’obbligo di formazione in ambito privacy incombe su tutti i titolari e i responsabili del trattamento: in particolare, su costoro ricade l’osservanza dell’obbligo di garantire un piano di formazione a beneficio di tutti coloro che, in funzione delle mansioni svolte all’interno del contesto aziendale o lavorativo, svolgono operazioni di trattamento di dati personali.

Come deve essere effettuata una buona formazione?

La formazione costituisce, pertanto, un prerequisito per potere operare all’interno delle aziende e di tutte le altre organizzazioni. Essa dovrebbe, alla luce dell’impianto del Regolamento, presentare un taglio interdisciplinare (con sessioni sia informatiche sia giuridiche sia sui profili organizzativi dell’Ente o Società) e pragmatico (come si evince dal termine “istruito” previsto all’art 29 e 32 del Regolamento) e riguardare tutti i soggetti che compiono quotidianamente operazioni di trattamento di dati personali.

La formazione dovrebbe essere finalizzata ad illustrare i rischi generali e specifici dei trattamenti di dati, le misure organizzative, tecniche ed informatiche adottate, nonché le responsabilità e le sanzioni.
È opportuno che la formazione sia erogata da società di consulenza e professionisti esperti del settore. Qualora presente in azienda, l’incarico della formazione può essere anche conferito al DPO.
L’obbligo formativo non deve essere in alcun modo sottovalutato da parte delle imprese: nel caso di mancata erogazione della formazione scatta, infatti, ai sensi dell’art. 83 par 4 del Regolamento privacy europeo, la rilevante sanzione amministrativa pecuniaria fino a 10 milioni di euro o, per le imprese, fino a 2 % del fatturato mondiale annuo dell’anno precedente se superiore.

L’adempimento degli obblighi formativi è sovente oggetto anche di accertamenti ispettivi da parte dell’Autorità Garante privacy e da parte della Guardia di Finanza. Il Garante in sede ispettiva ha richiesto, infatti, di acquisire il programma ed il piano di formazione, le dispense, i materiali erogati, il test finale ed ha analizzato il profilo delle istruzioni agli incaricati al trattamento connesse all’accesso, alla consultazione delle banche dati, i livelli di autorizzazione e policy aziendali (ad esempio in materia di password aziendali e di videosorveglianza).

Cosa devono muoversi le aziende?

Pertanto le aziende devono:

Fonte: Agenda digitale 

La formazione costituisce essa stessa una misura essenziale al fine di garantire un livello di sicurezza adeguato a garanzia del Titolare del trattamento. 

Richiedici una consulenza su come strutturare la vostra formazione in azienda!