Il Regolamento 679/2016 UE, di seguito GDPR, impone che chiunque effettui un Trattamento di Dati Personali lo faccia nel pieno rispetto dei principi ivi sanciti, imponendo quindi di fatto la conoscenza dei contenuti del regolamento stesso.

Il GDPR non impone misure e metodologie per il Trattamento di Dati personali, ma sancisce dei principi che devono essere rispettati in fase di Trattamento. L’art. 32, sulla sicurezza del trattamento, prevede che il Titolare del trattamento e il Responsabile del trattamento mettano in atto misure tecniche e organizzative adeguate a garantire un livello di sicurezza adeguato al rischio, senza peraltro indicare misure obbligatorie o minime indispensabili.

La Formazione deve essere annoverata tra le misure organizzative imprescindibili: infatti il comma 4 del medesimo articolo recita “Il titolare del trattamento e il responsabile del trattamento fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento…”

In sintesi, il GDPR impone a Titolari e Responsabili del Trattamento di conoscere i contenuti del regolamento e di mettere in atto procedure che garantiscano che il Trattamento avvenga in conformità alle disposizioni della normativa, dopodiché, dovendosi avvalere di personale incaricato ad effettuare materialmente i trattamenti di dati personali, lo istruisce sulle procedure da adottare, così come stabilito all’art. 2-quaterdicies del Dlgs 101/2018.

La formazione del personale incaricato al trattamento di dati personali è senza dubbio una degli strumenti più efficaci per garantire la rispondenza del trattamento ai principi del GDPR.

La formazione viene considerata spesso come un mero obbligo normativo a cui malvolentieri ci si sottomette. Tutte le aziende, pubbliche e private, sono soggette all’obbligo di formare i propri addetti sulla sicurezza sul lavoro, sulle pratiche di prevenzione incendi, sulle procedure di emergenza oltreché ovviamente sulle modalità di svolgimento della particolare mansione assegnata ad ognuno.

Un operaio edile specializzato, con 20 anni di esperienza in cantiere, difficilmente affronta con entusiasmo una sessione di aggiornamento sulla sicurezza nei cantieri mobili, sia per la presunzione di conoscere già tutti gli aspetti della sicurezza che riguardano le sue mansioni, sia perché, nella maggior parte dei casi, la formazione viene somministrata in maniera ripetitiva negli anni ed in forma acritica, senza tener conto delle specifiche esigenze dei singoli settori lavorativi ed all’interno di questi delle singole mansioni.

Il Trattamento dei Dati Personali non costituisce tuttavia, nella stragrande maggioranza dei casi, una mansione a sé stante ma un’attività trasversale svolta da quasi tutti i lavoratori, spesso in maniera inconsapevole.

Infatti annotare nome, cognome ed indirizzo mail di una persona, fare la copia di un documento di identità, registrare l’indirizzo fisico di un cliente per una spedizione, annotare un numero di cellulare di un utente per potergli inviare una comunicazione, sono tutte semplici operazioni che costituiscono a tutti gli effetti Trattamenti di Dati personali, e come tali devono sottostare alle regole imposte dalla normativa vigente.

Si comprende dunque quanto la Formazione costituisca tassello fondamentale nell’applicazione del GDPR, consentendo ai Titolari di progettare ed imporre alla propria azienda procedure di Trattamento corrette ed alle persone fisiche materialmente incaricate del Trattamento di mettere compiutamente in atto dette procedure.

Se un buon livello di formazione consente di operare secondo i principi del GDPR, la carenza di istruzione costituisce, di contro, un sicuro punto debole nella sicurezza del Trattamento ed un valido appiglio per il Controllore che, chiamato a verificare la compliance delle operazioni di trattamento, debba commisurare una sanzione ad un Titolare.

Si pensi per esempio alla necessità di pubblicare la graduatoria di un concorso sul proprio portale web istituzionale in ottemperanza ad un obbligo di legge sulla trasparenza. Quali dati devono essere pubblicati? Per quanto tempo? I file resi disponibili devono venire indicizzati dai motori di ricerca?

Un’azienda di trasporti registra i dati anagrafici dei propri clienti sul proprio data base, quali dati è lecito conservare? Per quanto tempo?

All’interno di un’impresa organizzata in più settori distinti, un impiegato dell’ufficio personale può accedere indiscriminatamente ai dati contenuti nel database dell’ufficio contratti e viceversa? Conservare i fascicoli dei dipendenti nell’archivio cartaceo contenente anche i fascicoli dei clienti e dei fornitori è sempre lecito?

Le nomine formali di un Responsabile, del DPO, di incaricati del trattamento, etc., sollevano il Titolare dalla responsabilità sugli effetti del trattamento?

Non esistono sempre risposte univoche valide per tutti i casi, ma di volta in volta è necessario valutare attentamente non solo la tipologia di Trattamento di Dati Personali ma anche le condizioni al contorno: ecco perché è indispensabile formarsi e formare il proprio personale.

La formazione è il primo strumento per poter valutare se si stia agendo correttamente o come si debbano modificare le proprie attività.

La formazione deve essere distinta per ruolo svolto e responsabilità nella gerarchia del Trattamento, non si può pensare di somministrare la stessa formazione a tutto il personale dell’azienda, ci saranno infatti ruoli di vertice e ruoli operativi che hanno differenti necessità di conoscenza della materia.

La maggior parte delle aziende Pubbliche e molte imprese private ha provveduto ad “adeguarsi” al GDPR, affidandosi a consulenti esterni, nominando il DPO, redigendo un’analisi dei rischi, una valutazione d’impatto e tutta una serie di documenti ritenuti necessari. Senza però aver formato adeguatamente il personale al proprio interno, come si può essere sicuri che quanto prodotto sia sufficiente in caso di controllo da parte dell’Autorità di Controllo?

Preme sottolineare che, a differenza di altre normative, sul trattamento dei dati personali, non è possibile “scaricare” le responsabilità ad altri: il primo a pagare le conseguenze di un comportamento scorretto o di una falla nella sicurezza sarà sempre il Titolare del Trattamento. Per tale motivo, senza voler screditare il lavoro fatto da consulenti professionisti, crediamo sia fondamentale che si acquisiscano le conoscenze per giudicare se si stia agendo lecitamente.

La DigitalPA offre un pacchetto di formazione sul Trattamento di Dati Personali strutturato in funzione della complessità aziendale del cliente e della rischiosità dei Trattamenti effettuati, mettendovi nelle condizioni di concentrarvi sul vostro business o sulla fornitura del vostro servizio pubblico nella consapevolezza che state agendo in maniera lecita e corretta.

servizi-privacy-gdpr-formazione-regolamento-ue