News
19/04/2019 GDPR: le attività di compliance ad un anno dall'entrata in vigore
La formazione del personale in tema di protezione dei dati
Ci si è chiesti da più parti, a margine dell'entrata in vigore del GDPR, se questo avesse introdotto un obbligo formativo dei dipendenti sul tema della protezione dei dati.
Una delle norme fondamentali del regolamento in materia di formazione sul trattamento dei dati personali è quella contenuta nell'art. 39 che attribuisce al Data Protection Officer (DPO) specifici compiti di sensibilizzazione e formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo: "il responsabile della protezione dati è incaricato di provvedere alla sensibilizzazione e formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo".
Di rilevanza sul tema della formazione è anche l'art. 47 del GDPR rubricato "Norme vincolanti d'impresa" che prevede che le norme, da applicarsi ai gruppi d'impresa ai fini del trasferimento dei dati nelle entità residenti in paesi extra UE, dovranno specificare "l'appropriata formazione in materia di protezione dei dati al personale che ha accesso permanente o regolare ai dati personali".
Diversamente, non appare ricavabile la sussistenza di un obbligo formativo dall'art. 29 del GDPR "il responsabile del trattamento o chiunque agisca sotto la sua autorità o sotto quella del titolare, che abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso dal titolare del trattamento nè dall'art. 32 del GDPR che al comma n. IV prevede quanto segue: "il titolare e il responsabile del trattamento fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento". Non si condivide l'interpretazione che vorrebbe che il termine "istruito" possa essere interpretato nel senso di "formato" anche perchè il tenore del testo in lingua inglese, che utilizza "on instructions", evidenzia che il significato da attribuirsi ਠquello "dietro istruzioni" che il titolare dovrà conferire ai soggetti dallo stesso autorizzati al trattamento.
In conclusione, pur non condividendosi di ricavare la sussistenza dell'obbligo formativo nei due articoli da ultimo citati (artt. 29 e 32), il tenore dell'art. 39, sui compiti del Responsabile della Protezione dei Dati e, ancor più dell'art. 47 sulle norme vincolanti di impresa, inducono a ritenere che la formazione e la sensibilizzazione del personale costituisca una delle misure organizzative che il titolare è tenuto a mettere in atto ai sensi dell'art. 24 del GDPR al fine di garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al regolamento; non sarebbe coerente con il contenuto dell'art. 47, che impone l'obbligo formativo in caso di trasferimento dei dati all'estero, un'interpretazione del regolamento che vorrebbe l'attività di formazione confinata, appunto, ai casi di trasferimento all'estero ovvero di nomina del Data Protection Officer.
Sarà dunque onere dei titolari dare corso alle attività formative che, in forza del principio di responsabilizzazione, dovranno peraltro essere opportunamente documentate in relazione all'effettiva esecuzione ed al relativo contenuto che, naturalmente, non potrà prescindere dalle tipologie di trattamento concretamente eseguite dal titolare.
E' quindi essenziale che l'attività formativa sia fortemente personalizzata e destinata a diffondere non solo i principi della normativa ma anche le misure organizzative adottate dal titolare.
inizia subito il tuo percorso di formazione online!
