Consulenza e Formazione Sicurezza, Medicina Del Lavoro, Sistemi Di Gestione, Qualità, Privacy, Ambiente e Modelli Organizzativi

Formazione e GDPR: attenzione alle possibili sanzioni!

Anche in materia di privacy e trattamento dati personali vi sono degli specifici obblighi formativi. Vediamo come gestire gli adempimenti in azienda.

In qualsiasi realtà imprenditoriale vengono trattati dati personali. Ogni impiegato con mansioni amministrative passa la maggiora parte della propria giornata lavorativa trattando dati personali.

Vi sono degli specifici obblighi in capo al Titolare del trattamento? Sono necessari dei specifici programmi di formazione? Vediamo come gestire gli adempimenti.

Partiamo dal principio. L’art. 29 GDPR rubricato “Trattamento sotto l’autorità del titolare del trattamento o del responsabile del trattamento” sancisce che: “Il responsabile del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del titolare del trattamento, che abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri”.

La norma citata impone a qualsiasi datore di lavoro di “istruire” i propri dipendenti che trattino dati personali. Si tratta di un obbligo generalizzato di formare il proprio personale che abbia accesso ai dati trattati dall’azienda.

A differenza della legislazione precedente (specialmente il Codice Privacy antecedente al GDPR) con il principio di accountability le misure che dovrà adottare il Titolare del trattamento, e quindi anche gli obblighi formativi, non sono più “minimi” (una check list da spuntare della corrispondenza tra quanto adottato e le misure obbligatorie) ma dovrà necessariamente essere adeguate a quanto sia realmente l’impatto di una determinata attività in materia di privacy.

Si tratta del principio imposto dall’art. 32 GDPR che afferma che: “Il titolare del trattamento ed il responsabile del trattamento fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri”.

Concretamente, se il Titolare del trattamento non compie alcuna attività di trattamento dati non dovrà compiere nessun adempimento con riferimento alla normativa privacy; al contrario, se l’impatto del trattamento sui diritti e le libertà degli interessati è elevato dovranno essere adottate misure tecniche e organizzative adeguate.

Sicuramente sarà necessario differenziare il contenuto della formazione in base alle mansioni rivestite. Gli incaricati al trattamento di dati sensibili, ad esempio, dovranno essere maggiormente sensibilizzati ai rischi inerenti ai trattamenti effettuati. Parallelamente, gli operai assegnati alla produzione che non svolgano attività di trattamento non dovranno essere oggetto di un percorso formativo dedicato.

Il precedente obbligo è di portata generale, ma non sono previsti precisi contenuti del percorso di formazione. Tutto viene affidato al Titolare del trattamento in base a quanto effettivamente viene svolto in azienda.

Pertanto, suggeriamo un percorso differenziato in base alle attività svolte dal lavoratore.

Le precedenti attività ai sensi dell’art. 39 GDPR sono, inoltre, aggetto di specifico controllo da parte del Responsabile della protezione dei dati (DPO), o ove previste erogate direttamente dallo stesso nel proprio rapporto con il Titolare del trattamento.

Ricordiamo, infine, che l’inottemperanza ai precedenti obblighi ricade nelle sanzioni previste dall’art. 83, comma 4, del GDPR, ovvero “[…] fino a 10.000.000 Euro, o per le imprese, fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore […]”.