Il Regolamento (EU) 2016/679 definisce la formazione privacy come una misura di sicurezza obbligatoria per tutte le società private e le pubbliche amministrazioni che trattino dati personali. La formazione non dovrebbe essere vista come un mero obbligo formale, ma una vera e propria opportunità di mettere tutti i dipendenti/collaboratori nella condizione di apprendere come effettuare un trattamento conforme alla vigente normativa privacy e riconoscere eventuali rischi sui dati trattati e prevenirne violazioni.
L’art 29 del Regolamento (EU) 679/16 è chiaro nello stabilire che chiunque abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso dal Titolare del trattamento.
L’art. 32 del Regolamento (EU) 679/16 definisce la formazione privacy come una misura di sicurezza obbligatoria per tutte le società private e le pubbliche amministrazioni che trattino dati personali.
Il Titolare del Trattamento deve dunque pianificare corsi privacy per tutti i dipendenti e collaboratori autorizzati a trattare dati personali?
Il concetto di “formazione” non è univoco!
Dobbiamo specificare che esistono diversi tipi di formazione:
- Esiste una formazione che viene impartita dal Titolare del trattamento al momento dell’assunzione o dell’assegnazione di nuovi incarichi. Una formazione quindi operativa e pratica, specifica per i compiti svolti, che può essere concretizzata e resa continuativa nel tempo con l’adozione di procedure e regolamenti aziendali;
- Per le aziende che hanno nominato un DPO (Responsabile della protezione dei dati), si concretizza una formazione, che deriva indirettamente dallo svolgimento delle funzioni di quest’ultimo, che indirizza, consiglia e offre consulenza a Titolare, dipendenti e collaboratori, istruendoli sulle questioni privacy connesse ai trattamenti da loro effettuati;
- Vi è poi la vera e propria formazione didattica, che si concretizza con la frequenza in aula o online, di un corso privacy.
Per rispondere dunque alla domanda di cui sopra: si, la formazione è obbligatoria e ogni Titolare è bene che pianifichi dei corsi privacy.
I primi due tipi di formazione sono importantissimi e devono svolgere un’azione capillare nelle aziende o negli enti interessati, ma solitamente è solo col terzo tipo di formazione che si riesce ad avere un livello di istruzione base necessaria per poter comprendere e interiorizzare le informazioni impartite con gli altri tipi di formazione. Non da ultimo, il corso in aula o online, è anche il processo maggiormente certificabile (ad esempio con il rilevamento delle presenze, il test finale, il rilascio del certificato di frequenza e partecipazione), che consente al Titolare del trattamento di poter provare (in caso di controllo) di aver messo in atto questa misura di sicurezza obbligatoriamente richiesta.
Cos’è importante stabilire durante una formazione privacy?
È importantissimo insegnare a coloro che trattano dati personali, che cosa siano questi ultimi: se non si sa riconoscere un dato personale e non si sa la distinzione tra le varie tipologie (es. dati comuni, particolari ecc), non si potrà mai avere un trattamento cosciente degli stessi.
È inoltre utile capire cosa sia un trattamento di dati personali e dare gli strumenti terminologici agli incaricati utili per comprendere la documentazione privacy in uso (chi è il Titolare del trattamento? cos’è un’informativa privacy? chi è il responsabile del trattamento? Che compiti ha il designato privacy se nominato? Sono tutte domande a cui una valida formazione privacy dovrebbe ad avviso dello scrivente ufficio dare risposta).
Può essere poi molto utile spiegare cosa sia un Data Breach e cos’è un accesso dei diritti degli interessati. Conoscere e saper distinguere i suddetti avvenimenti è fondamentale per sapere come affrontarli al loro verificarsi. Tali eventi infatti prevedono una reazione del Titolare del trattamento, che deve avvenire entro determinate tempistiche; tali tempistiche se non rispettate, possono portare a vere e proprie segnalazioni all’Autorità competente.
I tuoi dipendenti sanno distinguere i dati personali? Sanno riconoscere un Data Breach? Sanno (entro quando e come) rispondere ad una richiesta di esercizio dei diritti?
La formazione non dovrebbe essere considerata come un mero adempimento burocratico, bensì come un’opportunità per le aziende per rendere consapevoli i propri dipendenti delle operazioni di trattamento effettuate, nonché dei rischi connessi alle stesse, istruendoli sulle principali misure di sicurezza da adottare. In un’ottica di accountability (principio cardine del Regolamento (EU) 679/16 espressione di una “Responsabilizzazione” del Titolare del Trattamento) una valida formazione consente, non solo di ridurre i rischi di sanzioni amministrative, ma anche di migliorare l’organizzazione dei processi interni e garantire un’erogazione dei servizi conforme a quanto richiesto dalla normativa privacy nazionale ed europea vigente.
E tu hai programmato la formazione privacy nella tua azienda? Evita sanzioni! Rendi più consapevoli i tuoi incaricati dei trattamenti da loro effettuati! Renorm Srl può aiutarti!
Contattaci