Obbligo della formazione Privacy
L’entrata in vigore del Regolamento Europeo per la protezione dei dati personali (GDPR) ha reso fondamentale l’obbligo per i soggetti che effettuano il trattamento dei dati personali altrui di adottare misure di sicurezza tecniche organizzative e cautele per tutelare la diffusione dei dati sensibili proteggendoli da eventuali illeciti.
Il principio cardine del GDPR è l’accountability per tutte le tipologie di trattamento; ciò comporta l’adozione di strumenti e soluzioni atte a garantire non solo la protezione dei dati, ma anche il controllo, la verifica e l’analisi delle procedure.
Per far questo, l’azienda deve avere personale formato sui principi della Protezione dei Dati Personali e sulle procedure aziendali messe in atto.
Il Regolamento non specifica che tipo di corsi devono essere svolti, ma l’obbligo deriva dagli art. 29, 32 e 39 del GDPR.
Come previsto dall’art. 29 del GDPR, chiunque agisca sotto l’autorità del Responsabile o sotto quella del Titolare del trattamento, che abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso dal titolare del trattamento.
Sanzioni
Gli obblighi formativi sono introdotti dall’art. 39 del Regolamento, che prevede, tra i compiti del DPO, quello di “sorvegliare l’osservanza delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo”.
L’art. 32 del Regolamento dispone che “chiunque abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento”.
Le aziende e le Pubbliche Amministrazioni, pertanto, devono implementare dei processi formativi che rispondano ai requisiti delle Misure di Sicurezza: testabili, verificabili e valutabili per chiunque gestisca dati personali.
In caso di violazione degli articoli 29 e 39, verranno applicate sanzioni amministrative pecuniarie.