La formazione degli incaricati è un obbligo: rischio sanzioni!

Durante il procedimento di Compliance al GDPR è da notare l’obbligo di formazione degli incaricati in forza all’azienda (eliminato dal vecchio codice privacy e reintrodotto con la 679/2016). Soprattutto, non si devono sottovalutare le sanzioni correlate ad eventuale inadempienza. Infatti, in caso di controlli che riscontrassero l'assenza di un adeguato piano formativo, ai sensi dell'art. 83 del Regolamento privacy europeo può scattare la sanzione amministrativa pecuniaria fino a 10 milioni di euro o, per le imprese, fino a 2 % del fatturato mondiale annuo dell’anno precedente.

La norma centrale rispetto al trattamento dei dati personali è l’art.29 in cui vien specificato:

“il responsabile del trattamento (data processor), o chiunque agisca sotto la sua autorità o sotto quella del titolare (data controller), che abbia accesso ai dati personali non può trattare tali dati se non è istruito in tal senso dal titolare”.

L'art 32. ribadisce il concetto: chi non è adeguatamente formato non deve avere accesso a dati personali

Anche l’art.32 del Regolamento “Sicurezza del trattamento” è molto importante sul tema, sopratutto per la specifica del paragrafo 4 secondo cui: “il titolare del trattamento ed il responsabile del trattamento fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri”.

Formazione GDPR: step by step la conformità

Cosa fare per adeguarsi a tale obblighi:

1. Prevedere un programma di formazione specifico collettivo per tutti gli incaricati (attivi ai fini privacy) che lavorano in azienda, sensibilizzandoli al data security, soprattutto quello inerente il trattamento dei dati personali, anche attraverso i sistemi informatici (Email, documenti word e excel etc.) e quelli analogici aziendali.
2. Il corso può prevedere la documentazione di tutto il percorso con la possibilità di verifica finale.
3. Trasmettere all’azienda tutto il materiale formativo e gli attestati.

La formazione interna al GDPR

Da notare che l’articolo 39 del GDPR pone tra le competenze del DPO anche la possibilità di formare il personale qualora l’azienda lo richieda. Nel caso l’azienda decida di usare un “Formatore Interno” dovrà garantire che il soggetto preposto sia competente riguardo la materia in oggetto, dimostrando capacità giuridiche e informatiche.

I corsi formativi dovranno avere alcune caratteristiche previste dal GDPR:

• se l’azienda ricevente il corso è pubblica o privata;
• il modo di esecuzione del percorso formativo, se in loco o telematico;
• dare priorità alla formazione degli incaricati che hanno un accesso al dato privilegiato e posizioni di responsabilità all’interno dell’azienda.

I controlli degli enti preposti

Le verifiche vengono effettuate durante i sopralluoghi da parte dell’Autorithy e della Guardia di Finanza, che hanno rinnovato e ufficializzato la propria collaborazione congiunta dal 2016. Gli organi ispettivi andrebbero a svolgere fondamentalmente 2 tipi di attività:

• analizzare se le attività degli incaricati è uniforme con le Privacy policy e se vengono rispettati i livelli di autorizzazione;
• acquisire l’oggetto dei corsi (Slide, presentazioni Powerpoint, pdf etc.) per analizzarne l’uniformità con le disposizioni di legge.

La formazione al GDPR è uno dei tasselli essenziali per la conformità

Il piano formativo costituisce, insieme ad altri elementi, uno dei tasselli fondamentali per la conformità al GDPR, secondo il principio di accountability (o responsabilizzazione), inteso come la capacità del titolare di dimostrare di aver adottato tutte le misure adeguate per la protezione dei dati personali trattati oltre che tutti i sistemi organizzativi interni necessari, compresa la sensibilizzazione del personale.

In conclusione, la formazione non deve essere considerata come un adempimento burocratico ma va intesa alla stregua di un’opportunità per rendere consapevoli tutti gli operatori all’interno dell’organizzazione dei possibili rischi connessi al trattamento dei dati al fine di evitare anche i rischi di sanzioni amministrative.