GDPR e formazione: un obbligo di legge da non sottovalutare

Formazione GDPR

Il nuovo regolamento Europeo in materia di protezione dei dati personali prevede un obbligo formativo per i soggetti con un ruolo attivo nel trattamento dei dati.

La formazione acquisisce così un ruolo fondamentale per il rispetto del GDPR; è un elemento di accountability che in caso di ispezione può essere verificata, dando luogo ad una sanzione amministrativa fino a 10 milioni di euro o fino al 2% del fatturato annuale (art.83 del GDPR).

L’obbligo di formazione, se nella precedente normativa era implicito, nella vigente normativa è invece previsto espressamente e deriva  dagli art. 29, 32 e 39 del Regolamento UE 2016/679 (GDPR).

Infatti, secondo l’art. 29 , il responsabile del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del titolare del trattamento, che abbia accesso a dati personali “non può trattare tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri”. Così come chiunque abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento”. (art.32.4).

Infine, il Regolamento prevede, tra i compiti del DPO (Data Protection Officer), quello di “sorvegliare l’osservanza […] delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi […] la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo”.

La formazione rappresenta quindi un elemento importante per la gestione effettiva della normativa in materia di trattamento dei dati e permette ai dipendenti ed ai collaboratori , di scongiurare o trattare correttamente i dati nelle eventuali situazioni patologiche che dovessero verificarsi, come, ad esempio, un data breach.

Le aziende e le Pubbliche Amministrazioni, pertanto, devono implementare dei processi formativi , con sessioni di aggiornamento, come misure di sicurezza adeguate, verificabili e valutabili per chiunque gestisca dati personali.