GDPR e formazione: quando è obbligatoria?

/in /da

Una delle novità più rilevanti introdotte dal GDPR è senz’altro l’obbligo della formazione in ambito privacy.

Il decreto legge 9 febbraio 2012, n. 5, convertito con modificazioni dalla legge 4 aprile 2012, n. 35, aveva infatti abrogato l’obbligo di formazione previsto al punto 19.6 del disciplinare tecnico in materia di misure minime (c.d. allegato B al D. Lgs. 196/03), che prevedeva percorsi formativi per gli incaricati al trattamento.

QUANDO È OBBLIGATORIA?

In base al GDPR, la formazione privacy restava (e resta) invece obbligatoria nel settore sanitario ex art. 83 del Codice Privacy (tale articolo dispone che il Titolare del Trattamento deve attivare “la messa in atto di procedure, anche di formazione del personale, dirette a prevenire nei confronti di estranei un’esplicita correlazione tra l’interessato e reparti o strutture, indicativa dell’esistenza di un particolare stato di salute” e di prevedere “la sotto posizione degli incaricati che non sono tenuti per legge al segreto professionale a regole di condotta analoghe al segreto professionale”).

Ebbene, l’art. 29 del GDPR prevede che “il responsabile del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del titolare del trattamento, che abbia accesso ai dati personali non può trattare tali dati se non è istruito in tal senso dal titolare …”.

PER LE IMPRESE E LE P.A.?

Dunque, la formazione è un obbligo cogente per tutte le imprese e le pubbliche amministrazioni. Del resto, già nel 2010, col parere n. 3, il Gruppo di lavoro art. 29 aveva ben precisato essere necessaria “un’adeguata formazione ed istruzione del personale in materia di protezione dei dati. Il personale in questione dovrebbe includere gli incaricati (o responsabili) del trattamento dei dati personali, ma anche dirigenti e sviluppatori in campo informatico e direttori di unità commerciali”.

Inoltre, l’art. 32 del GDPR, al paragrafo 4, prevede che “il titolare del trattamento ed il responsabile del trattamento fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri”.

Dunque, la formazione è imprescindibile strumento di sicurezza. L’obbligo formativo quindi non deve essere in alcun modo sottovalutato da parte dei Titolari al trattamento: in caso di omessa formazione, infatti, ai sensi dell’art. 83 par 4 del GDPR, potrà essere irrogata una sanzione pecuniaria fino a 10 milioni di euro o, per le imprese, fino a 2 % del fatturato mondiale annuo dell’anno precedente se superiore.

 

Curioso di scoprire qualche falso mito sul GDPR?

 

Scoprilo qui!

 

Vuoi ulteriori informazioni o vuoi fare formazione ai tuoi dipendenti?
Potrebbero interessarti
3 Luglio: sospensione programmata servizio SATA Full Invoice
DPO Il DPO e il suo ruolo chiave per la Privacy
gdpr GDPR: i costi sono realmente così alti? Pt.1
Marketing: serve il consenso dell’interessato?
privacy online Privacy online, se fosse messa in discussione la sua efficacia?
Office 365, stop del Garante Privacy tedesco