Sei un utente registrato?
inizia subito il tuo percorso di formazione online!

News

19/04/2019

GDPR: le attività di compliance ad un anno dall'entrata in vigore

La formazione del personale in tema di protezione dei dati

Ci si è chiesti da più parti, a margine dell'entrata in vigore del GDPR, se questo avesse introdotto un obbligo formativo dei dipendenti sul tema della protezione dei dati.

Una delle norme fondamentali del regolamento in materia di formazione sul trattamento dei dati personali è quella contenuta nell'art. 39 che attribuisce al Data Protection Officer (DPO) specifici compiti di sensibilizzazione e formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo: "il responsabile della protezione dati è incaricato di provvedere alla sensibilizzazione e formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo".

Di rilevanza sul tema della formazione è anche l'art. 47 del GDPR rubricato "Norme vincolanti d'impresa" che prevede che le norme, da applicarsi ai gruppi d'impresa ai fini del trasferimento dei dati nelle entità residenti in paesi extra UE, dovranno specificare "l'appropriata formazione in materia di protezione dei dati al personale che ha accesso permanente o regolare ai dati personali".

Diversamente, non appare ricavabile la sussistenza di un obbligo formativo dall'art. 29 del GDPR "il responsabile del trattamento o chiunque agisca sotto la sua autorità o sotto quella del titolare, che abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso dal titolare del trattamento" né dall'art. 32 del GDPR che al comma n. IV prevede quanto segue: "il titolare e il responsabile del trattamento fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento". Non si condivide l'interpretazione che vorrebbe che il termine "istruito" possa essere interpretato nel senso di "formato" anche perché il tenore del testo in lingua inglese, che utilizza "on instructions", evidenzia che il significato da attribuirsi è quello "dietro istruzioni" che il titolare dovrà conferire ai soggetti dallo stesso autorizzati al trattamento.

In conclusione, pur non condividendosi di ricavare la sussistenza dell'obbligo formativo nei due articoli da ultimo citati (artt. 29 e 32), il tenore dell'art. 39, sui compiti del Responsabile della Protezione dei Dati e, ancor più dell'art. 47 sulle norme vincolanti di impresa, inducono a ritenere che la formazione e la sensibilizzazione del personale costituisca una delle misure organizzative che il titolare è tenuto a mettere in atto ai sensi dell'art. 24 del GDPR al fine di garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al regolamento; non sarebbe coerente con il contenuto dell'art. 47, che impone l'obbligo formativo in caso di trasferimento dei dati all'estero, un'interpretazione del regolamento che vorrebbe l'attività di formazione confinata, appunto, ai casi di trasferimento all'estero ovvero di nomina del Data Protection Officer.

Sarà dunque onere dei titolari dare corso alle attività formative che, in forza del principio di responsabilizzazione, dovranno peraltro essere opportunamente documentate in relazione all'effettiva esecuzione ed al relativo contenuto che, naturalmente, non potrà prescindere dalle tipologie di trattamento concretamente eseguite dal titolare.

E' quindi essenziale che l'attività formativa sia fortemente personalizzata e destinata a diffondere non solo i principi della normativa ma anche le misure organizzative adottate dal titolare.


Sei un utente registrato?
inizia subito il tuo percorso di formazione online!