Corsi di formazione

Il Nuovo Regolamento Europeo Privacy (GDPR) ha introdotto nuovi e specifici obblighi di formazione privacy in capo a tutti i Titolari del Trattamento e Responsabili del Trattamento.

 
Obbligo o best practice?

L’art. 39.1.b del Regolamento Europeo Privacy (GDPR), infatti, prevede espressamente che rientri tra i compiti del Privacy Officer o Data Protection Officer (DPO) “[…] sorvegliare l’osservanza […] delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi […] la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo”.

Inoltre, l’art. 32.4 del Regolamento Europeo Privacy (GDPR), dispone che chiunque “ […] abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento […]”.

Il Regolamento Europeo Privacy (GDPR) considera, pertanto, la formazione privacy una importante misura di sicurezza per la protezione dei dati personali, che deve essere obbligatoriamente adottata da tutti i Titolari del Trattamento e Responsabili del Trattamento.

Al fine di garantire il rispetto di tali obblighi di formazione privacy, l’art. 39.1.a del Regolamento Europeo Privacy (GDPR), infine, affida al Privacy Officer anche il compito di “informare […] i dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal […] regolamento nonché da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati”

Il compito del Privacy Officer è, dunque, quello di concordare annualmente con il Titolare del Trattamento e con il Responsabile del Trattamento un piano di formazione privacy, che preveda corsi privacy periodici per tutto il personale incaricato al trattamento di dati personali.

Il piano di formazione privacy deve essere approvato per iscritto dal Titolare del Trattamento e dal Responsabile del Trattamento e i corsi privacy previsti devono essere svolti, in aula o in modalità e-learning, avvalendosi di personale docente esperto e specializzato in protezione dei dati personali.

Al termine del corso privacy, è necessario, poi, che venga somministrato a tutti i partecipanti un test finale di apprendimento al fine di poter dimostrare il raggiungimento degli obiettivi didattici e l’effettivo efficacia della formazione privacy, quale misura di sicurezza per la protezione dei dati personali.

E in caso di mancata formazione?

In caso di violazione degli obblighi di formazione privacy, il Regolamento Europeo Privacy (GDPR), prevede per il Titolare del Trattamento e per il Responsabile del Trattamento pesanti sanzioni amministrative pecuniarie, che possono arrivare fino a € 10.000.000 o fino al 2 % del fatturato mondiale totale annuo dell’esercizio precedente (ove superiore).