Formazione privacy obbligatoria col GDPR


Con l’entrata in vigore del nuovo regolamento sulla privacy, la formazione acquisisce un ruolo fondamentale per il rispetto del GDPR, sia nel settore pubblico che privato. In questo articolo Labor Project ci presenterà impatti, soluzioni, opportunità ed errori da evitare, per avere una preparazione adeguata in tema di privacy.

Oggi occorre creare una vera cultura della privacy all’interno della propria organizzazione.  

La formazione è altresì un elemento di accountability, pertanto occorre tenere presente che in caso di ispezione potranno essere verificati anche i percorsi formativi.

Dal punto di vista dei dipendenti e collaboratori che trattano dati personali, la formazione ha un ruolo determinante per la gestione della privacy, giorno per giorno, per evitare data breach o per saperlo affrontare con le giuste contromisure.

 

Indice:

Cosa dice la legge

La formazione fondamentale per l’accountability rispetto al GDPR

Chi deve fare formazione privacy obbligatoria

Come si svolge la formazione privacy obbligatoria

Controlli ispettivi

 

 

Cosa dice la legge

Whistleblowing proposta legge | Labor Project

 

 

Il regolamento europeo sulla privacy 679/2016 prevede l’obbligo della formazione per la pubblica amministrazione e per le imprese in materia di privacy. In particolare, devono essere formati i dipendenti e i collaboratori. Il GDPR ha ripreso in più articoli il concetto della formazione, rimarcando l’importanza della stessa in materia di protezione dei dati.

  • Articolo 29 GDPR

Secondo l’articolo 29 del GDPR il responsabile del trattamento dei dati, o chiunque agisca sotto la sua autorità, e che abbia accesso ai dati personali, deve essere istruito dal titolare del trattamento.

  • Articolo 32 GDPR

La formazione è citata anche nell’art. 32 GDPR al paragrafo 4 “chiunque agisca sotto l’autorità del titolare e abbia accesso ai dati personali, non deve trattare tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati Membri” ciò dimostra una volta di più l’importanza di questo adempimento, ma anche l’opportunità di “personalizzare” i percorsi formativi in base alle esigenze del titolare.

 

  • Articolo 39 GDPR

 

Nell ’articolo 39 si sottolinea l’importanza del ruolo del Data Protection Officer per la formazione, infatti è specificato che “Il DPO deve curare la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle attività di controllo“.

 

La formazione fondamentale per l’accountability rispetto al GDPR

L’obbligo della formazione del personale, più che mai attuale oggi con il GDPR, in realtà era già implicitamente previsto dalla precedente normativa, come specifica il gruppo di lavoro articolo 29.  Infatti, già allora, coloro che trattavano dati personali, dovevano essere informati a dovere.

Oggi la normativa vigente impone in maniera esplicita, e a più riprese, che la preparazione dei soggetti attivi nel trattamento dei dati, a seconda del ruolo che ricoprono, deve seguire regole vincolanti, come i codici di condotta elaborati e seguiti da organizzazioni multinazionali. L’obbligo pertanto riguarda il titolare del trattamento dei dati, ma anche il responsabile del trattamento dei dati che deve verificare la formazione ed il suo aggiornamento nel tempo, e ancora i direttori delle risorse umane, i dirigenti, gli sviluppatori in campo informatico e direttori di unità commerciali. Fondamentale è che siano stanziate risorse sufficienti per la formazione del personale.

Chi deve fare la formazione

Labor Formazione Incentivi | Labor Project

 

  • Enti pubblici

Nella progettazione dei corsi di formazione, è necessario esaminare ed individuare, secondo la struttura dell’ente, quali possono essere i fabbisogni formativi e le figure professionali da formare.

Nella previsione del budget occorre prevedere risorse specifiche anche per la formazione dei Data Protection Officer e del loro team. Ai sensi dell’articolo 39 del regolamento si specifica infatti che anche il DPO deve occuparsi della formazione del personale che partecipa alle attività di controllo.

In un’ottica di maggiore performance, alcuni enti stanno progettando di attivare sessioni informative on line per sensibilizzare gli utenti sul valore della protezione dei dati personali, anche sull’utilizzo consapevole e responsabile di internet e degli strumenti informatici utilizzati per lo svolgimento delle loro mansioni.

  • Aziende private

I dipendenti e i collaboratori possono trattare i dati solo se autorizzati e entro i limiti delle istruzioni ricevute.

La formazione, pertanto, rappresenta un elemento importante per la gestione della privacy, per tale ragione è importante che i piani formativi siano pubblicati anche nella sezione internet dell’azienda, al fine di aggiornare tutta l’organizzazione.

 

Come si svolge la formazione

 

Nella progettazione dei corsi di formazione, occorre tenere presente la struttura dell’ente o la ragione sociale dell’azienda, il target, le finalità, nonché le modalità di erogazione (in aula o a distanza), ed eventuali corsi fatti in precedenza in materia di protezione dei dati.

  • La procedura

Sia gli enti pubblici, che le imprese private, devono seguire alcuni passi fondamentali per rendere operativa la macchina della formazione:

  • Individuare il personale da formare.
  • Pianificare un percorso di formazione
  • Accantonare le risorse necessarie in sede di bilancio
  • È fondamentale prevedere prove finali e sessioni di aggiornamento
  • Individuare un percorso alternativo per coloro che non superano le prove finali.

 

  • I rischi da evitare

La formazione rappresenta una misura di sicurezza per le aziende ed un dovere per i dipendenti ed i collaboratori.  Non deve in alcun modo essere sottovalutata da parte di enti pubblici ed imprese, infatti, in caso di mancata erogazione, scatta, ai sensi dell’articolo 83 del Regolamento europeo sulla privacy, una sanzione amministrativa fino a 10 milioni di euro o fino al 2% del fatturato mondiale annuo dell’anno precedente.

 

I controlli ispettivi

ispezioni, Garante, Privacy, Labor Project

 

 

Gli obblighi formativi possono essere oggetto di controllo da parte del Garante della privacy e della Guardia di Finanza che potrebbero richiedere di acquisire

  • il programma ed il piano di formazione,
  • le dispense e i test finali,
  • l’elenco degli incaricati al trattamento,
  • l’accesso alle banche dati,
  • i livelli di autorizzazioni e di policy aziendali.

Le ispezioni possono essere annunciate dal Garante tramite comunicazione scritta, via posta elettronica, il giorno prima del sopralluogo, ma possono anche essere fatte a sorpresa.

In caso mancata collaborazione dell’azienda, gli accertamenti saranno comunque eseguiti e le spese saranno a carico del titolare.

 

Se ti è piaciuto l'articolo condividi:

Matteo Colombo

Socio Fondatore e Presidente dell’Associazione dei Data Protection Officer – ASSO DPO. Consulente d’impresa e formatore, esperto in materia privacy e lavoristica. Dopo un’esperienza di alcuni anni in una primaria multinazionale del settore Agenzie per il Lavoro quale Risk Manager e componente del Team ufficio legale, è socio fondatore di Labor Project Srl, azienda che da quindici anni opera nel campo della “compliance” in tema Privacy e 231/01 e di cui è a tutt’oggi l’Amministratore Delegato. A capo di un pool di tecnici, nel corso di questi anni ha seguito imprese private e pubbliche amministrazioni nell’adempimento del Testo Unico Privacy e GDPR. È DPO di alcune importanti società multinazionali. Relatore in molteplici eventi in tutta Italia sui temi Privacy e autore di diversi libri sul Regolamento (UE) Privacy. Esperto in materia di reati societari D.Lgs. 231/01 e componente di Organismi di Vigilanza. Relatore in molteplici eventi in tutta Italia sui temi Privacy e 231 e ideatore del progetto E-Learning “Master DPO”. CIPP/E: Certified Information Privacy Professional/Europe Socio Fondatore e Presidente dell’Associazione dei Data Protection Officer – ASSO DPO. Fondatore del gruppo Linkedin “ASSO DPO | Data Protection Officer”. Componente del Comitato Scientifico di Istituto Italiano Privacy Componente del gruppo di Esperti Italiani di Privacy Italia