Commenti

L’obbligo di formazione per la protezione dei dati personali

L’articolo 29 del Regolamento prevede che “il responsabile del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del titolare del trattamento, che abbia accesso ai dati personali non può trattare tali dati se non è istruito in tal senso dal titolare…”; inoltre – anche a proposito della sicurezza dei trattamenti – è previsto (Art. 32, 4) che “il titolare del trattamento e il responsabile del trattamento fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento…”.

Tra i compiti del RPD, poi, v’è anche quello di sorvegliare le politiche del titolare e/o del responsabile del trattamento, compresa “la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo.” (Art. 39, 1, b).

È bene evidenziare che l’inosservanza dell’obbligo formativo si traduce – in concreto – nel consentire indebitamente l’accesso a dati personali a persone non qualificate, che per tale ragione non possono essere autorizzate a svolgere attività di trattamento neppure elementari: la violazione rientra tra quelle previste dall’articolo 83, par. 4, che stabilisce la sanzione amministrativa della pena pecuniaria fino a 10 000 000 EUR, o per le imprese, fino al 2 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.

Tale obbligo, che ha natura generale e sostanziale, non deve essere trattato alla stregua di una mera formalità di carattere burocratico. Un corretto programma formativo non dovrebbe essere un frettoloso adempimento una tantum, bensì costituire oggetto di una pianificazione periodica che tenga conto dei nuovi ingressi nell’organigramma nonché dell’evoluzione delle funzioni e delle procedure connesse.

La formazione in tale materia è inoltre una delle componenti chiave di un sistema di politiche di protezione dei dati personali che tenga conto dei principi di base introdotti dal Regolamento: responsabilizzazione (accountability), protezione dei dati fin dalla progettazione (by design) e per impostazione predefinita (privacy by default), sicurezza dei dati e dei trattamenti, tutela dei diritti e delle libertà fondamentali delle persone fisiche.