Formazione privacy: il titolare deve preoccuparsi di formare anche i lavoratori dei suoi fornitori?

GDPR: la centralità della formazione, della redazione e della tenuta di un adeguato piano formativo per l’adempimento del generale obbligo di accountability, anche rispetto al personale dei fornitori del Titolare del trattamento.



Torniamo a discutere oggi di un tema di estrema rilevanza in ambito privacy e data protection: la formazione. Come noto il GDPR ha introdotto un obbligo generale di accountability in capo al Titolare del trattamento, dal quale derivano una serie di adempimenti che non si sostanziano in meri “box” da riempire e segnare come “fatti”, bensì che corrispondono ad una strategia operativa che pone l’accento sulla “sostanza” dell’adempimento.

Le misure di sicurezza devono essere implementate realmente e devono essere verificabili, anche per quanto concerne la formazione e la sensibilizzazione del personale che si troverà a gestire i dati personali in una o più fasi del trattamento.

Indice

Cosa prevede la normativa

La centralità della formazione nel campo della protezione dei dati personali è evincibile dai numerosi richiami che il GDPR fa al concetto di “istruzione” delle persone che operano sotto l’autorità del Titolare o del Responsabile del trattamento. Persino al Responsabile della protezione dei dati è imposto di occuparsi della “formazione del personale che partecipa ai trattamenti ed alle connesse attività di controllo”.

Nell’ottica di quanto riportato in premessa, secondo l’approccio di responsabilizzazione, l’obbligo di formazione del personale non deve essere inteso come un mero adempimento formale, motivato dal solo timore di incorrere in sanzioni. Un’appropriata formazione multidisciplinare deve essere considerata un’opportunità per l’organizzazione e consente agli “addetti ai lavori” di comprendere i potenziali rischi correlati al trattamento di dati personali e di agire nel pieno rispetto delle regole in materia. Una vera e propria misura di sicurezza organizzativa.

La costruzione e il mantenimento di un piano formativo

La formazione può espletarsi secondo diverse modalità, la consapevolezza dovrebbe essere continua attraverso riunioni interne (formali), slogan motivazionali, video, poster e volantini, test interni (sui dipendenti). È fondamentale la definizione di un piano formativo in grado, da un lato, di armonizzare le competenze interne delle diverse funzioni coinvolte, ma allo stesso tempo idoneo a dimostrare all’Autorità Garante di aver nei fatti dei collaboratori preparati. 

Come? Definendo le modalità di erogazione dei diversi momenti formativi, mantenendo un elenco aggiornato dei partecipanti e dello scadenziario formativo, con monitoraggio nel lungo periodo e verificandolo attraverso sistemi che permettano di ricevere notifiche in tempo reale sulle formazioni scadute, così da ripianificare senza ritardo nuove campagne di sensibilizzazione.

Ma quando un trattamento vede l’impiego di personale proprio e di lavoratori di terzi, qual è l’onere richiesto al Titolare del trattamento rispetto alla loro formazione?

Le sanzioni comminate a Merlini e Wind Tre

Anche analizzando i provvedimenti sanzionatori comminati recentemente dall’Autorità Garante per la protezione dei dati personali, il profilo della mancata formazione dei soggetti coinvolti nei processi di trattamento, è causa di sanzione.

Come emerge nei provvedimenti a carico di Wind Tre e del suo agente Merlini, il fatto che quest’ultimo abbia rappresentato che “Wind Tre S.p.A. non ha provveduto a realizzare corsi o convention in materia di protezione dei dati personali per gli agenti, neanche in concomitanza con l’entrata in vigore del Regolamento UE 679/2016”, lascia trasparire un preteso obbligo in capo alla società di telecomunicazioni di formare collaboratori in capo all’Agenzia.

Obbligo che pare confermato dal Garante che, nonostante la giustificazione addotta e propria discolpa, Wind Tre che “ha provveduto in più occasioni a svolgere attività di formazione e sensibilizzazione in materia di protezione dei dati personali, sia con riferimento alla popolazione aziendale interna, sia con riferimento ai propri Partner ed Agenti; come risulta dall'ultima estrazione richiesta al dipartimento Risorse Umane, l'intervento formativo è stato completato da tutti gli Area Manager, i District Manager e Capi Canale abilitati al controllo delle Agenzie Business (tra le quali l'Agenzia gestita dal Sig. Merlini)”, l’ha condannata per non aver non aver adottato “misure tecniche e organizzative idonee a realizzare un controllo effettivo sulla filiera del trattamento al fine di scongiurare pratiche illegali e l’effettuazione di contatti promozionali nei confronti di soggetti che non abbiano fornito un idoneo consenso”, ciò anche attraverso corsi di formazione rivolti ai collaboratori dell’Agenzia.

Se ti è piaciuto l'articolo condividi: