Formazione Obbligatoria e Privacy
La mancata formazione sulla Privacy del personale, modulata sulla base delle specifiche mansioni di ciascuno può comportare una sanzione di 10 milioni di euro o per le imprese, fino al 2 % del fatturato totale annuo dell’esercizio precedente, se superiore. Vediamo il perchè.
Nel Regolamento UE 2016/679 si parla di istruzione e di formazione negli Art. 29, 32 e 39:
Trattamento sotto l’autorità del titolare del trattamento o del responsabile del trattamento (Art. 29)
Il responsabile del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del titolare del trattamento, che abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri.
Tale concetto è ribadito anche dall’art. 32 “Sicurezza del trattamento” paragrafo 4 che prevede che “il titolare del trattamento ed il responsabile del trattamento fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri”.
Inoltre nell’ Art. 39 par. 1 comma b, si indica tra i Compiti del Responsabile della protezione dei dati: “la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo”
Quindi l’istruzione di chiunque tratti dati personali sotto l’autorità del Titolare è obbligatoria e in caso di violazione potrebbero scattare le sanzioni previste dal regolamento in quanto gli articoli 29, 32 e 39 rientrano tra quelli previsti dall’art. 83 par. 4 comma a)
Art. 83 Par. 4
In conformità del paragrafo 2, la violazione delle disposizioni seguenti è soggetta a sanzioni amministrative pecuniarie fino a 10 000 000 EUR, o per le imprese, fino al 2 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore:
a) | gli obblighi del titolare del trattamento e del responsabile del trattamento a norma degli articoli 8, 11, da 25 a 39, 42 e 43; |
E’ quindi necessario implementare un piano formativo che e dimostrare, tramite evidenze oggettive, l’effettiva formazione erogata.
Lo stesso Garante della Privacy ha ricordato, in una sua intervista a Italia Oggi del 21 Maggio 2018 l’importanza della formazione:
Presidente Soro, il Regolamento europeo nasce in un clima di incertezza e di ansia per le imprese. Quali sono gli adempimenti ai quali si consiglia di dare priorità?
“..Ma l’adeguamento al Regolamento si rivelerà una straordinaria opportunità, per consentire ad aziende e amministrazioni di stare al passo con l’innovazione e le nuove sfide di un’economia fondata sui dati, nonché per investire sulla protezione dati quale risorsa reputazionale essenziale e fattore di vantaggio competitivo. Adempimenti fondamentali, in questo senso, sono un’adeguata formazione del personale, modulata naturalmente sulla base delle specifiche mansioni di ciascuno, una puntuale ricognizione delle misure di sicurezza, tecniche e organizzative, che dovranno essere adeguate alle caratteristiche del trattamento, una complessiva revisione delle proprie informative per adeguarle all’impostazione più sostanzialistica del Regolamento, nonché la predisposizione delle procedure necessario ad effettuare, ove ne ricorrano i presupposti, la notifica dei data breach…”
L’intervista completa su: https://www.centrostudihelios.it/regolamento-ue-illeciti-non-sanzioni-le-reazioni-saranno-diverse-un-approccio-graduale-intervista-ad-antonello-soro/