GDPR: la formazione al trattamento dei dati personali è sottovalutata: ecco che c’è da sapere

L’avvento del GDPR ha portato imprenditori, professionisti e in generale tutti coloro che, a qualunque titolo, operano nel mercato del lavoro o nella pubblica amministrazione, a ripensare la propria organizzazione.

L’attenzione si è concentrata, in particolare, sull’individuazione di Titolari e Responsabili, sull’annosa questione della necessarietà/opportunità di “nominare” Responsabili interni, sull’inquadramento dei cosiddetti soggetti designati, sulle misure di sicurezza – in particolar modo di natura informatica, ma non solo – sui casi di obbligatorietà della valutazione d’impatto o della nomina di un DPO, sulle condizioni che consentono il trasferimento dei dati extra-UE e via discorrendo.

Ma dove si colloca, in tutto ciò, la formazione in materia di trattamento dei dati personali? Esiste, in aggiunta a quelli citati come esempio, anche un obbligo di formarsi?

Di formazione, il nostro ordinamento ci parlava già con il previgente Codice Privacy, quando, nel prevedere il contenuto del Documento Programmatico sulla Sicurezza (DPS), disponeva che fosse inserita al suo interno “la previsione di interventi formativi degli incaricati del trattamento, per renderli edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal titolare.”

Circa le tempistiche, si diceva che “la formazione è programmata già al momento dell’ingresso in servizio, nonché in occasione di cambiamenti di mansioni, o di introduzione di nuovi significativi strumenti, rilevanti rispetto al trattamento di dati personali.”

Le prescrizioni richiamate erano contenute nell’art. 19, punto 6 dell’allegato B del Codice Privacy (D. Lgs. 196/2003), ovvero l’allegato che disciplina (in accordo con quanto richiesto dagli artt. 34 e 35 dello stesso Codice) le cosiddette misure minime di sicurezza.

La formazione era, quindi, un obbligo specificamente previsto, in quanto rientrante fra le misure di sicurezza necessariamente presenti in ogni organizzazione. Compito del datore di lavoro era quello di prevederla fin dall’inizio del rapporto professionale e di curarne l’aggiornamento quando, al cambiare di situazioni di fatto, potesse essere cambiato anche il livello e la tipologia di rischi.

Le previsioni di cui sopra sono venute meno, tuttavia, con il Decreto Legge n. 5/2012, poi convertito in Legge 35/2012. Il decreto ha, infatti, disposto l’abrogazione del DPS e con esso dei contenuti elencati all’art. 19 dell’allegato B, parte relativa alla formazione compresa.

Non resta, quindi, che domandarci se l’obbligo sia stato ripreso dal Reg. UE 2016/679 e se sia, di conseguenza, attualmente in vigore.

Leggi l’articolo completo su Agenda Digitale

Recommended Posts