NUOVO REGOLAMENTO EUROPEO E OBBLIGHI DI FORMAZIONE IN MATERIA DI PRIVACY / by Giampietro Malusa

C’è anche la formazione tra gli obblighi posti dal GDPR.

In particolare, ai sensi dell’art. 39, comma 1, lett. b) del nuovo Regolamento Privacy Europeo, fra i compiti del DPO (Data Protection Officer), laddove nominato, vi è quello di “sorvegliare l'osservanza del … regolamento, di altre disposizioni dell'Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l'attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo”.

Ciò significa che gli obblighi di formazione sono comunque posti in capo al titolare e al responsabile del trattamento dei dati, vi sia stata o meno la nomina di un DPO (o di un DPO team).

Laddove nominato, il DPO sorveglierà il rispetto delle indicazioni impartite in materia dai soggetti sopra menzionati, anche se fra i suoi compiti vi è pure quello di “informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal presente regolamento nonché da altre disposizioni dell'Unione o degli Stati membri relative alla protezione dei dati”. Quindi uno dei task fondamentali del DPO è di orientare correttamente le politiche del titolare e del responsabile del trattamento.

D’altra parte, il titolare e il responsabile del trattamento devono garantire che anche il DPO curi costantemente la propria formazione. Infatti, se è vero che il DPO è scelto alla luce delle proprie qualità professionali, in quanto deve possedere una “conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati” (cfr. art. 37, comma 5 del Reg.), è anche vero che il titolare e il responsabile del trattamento devono fare in modo che il DPO mantenga la propria conoscenza specialistica per espressa previsione del GDPR (cfr. art. 38, comma 2 del Reg.), permettendogli di coltivare questa competenza, attraverso la partecipazione ad attività formative. A questo proposito, le guidelines sul DPO (riviste e) adottate a inizio aprile 2017 dal Gruppo di lavoro ex art. 29 indicano addirittura come scopo quello di aumentare costantemente il livello di preparazione del DPO (“The aim should be to constantly increase the level of expertise of DPOs and they should be encouraged to participate in training courses on data protection and other forms of professional development, such as participation in privacy fora, workshops, etc.”).

E’ infine da considerare che personale addetto al trattamento di dati personali (o, a maggior ragione, il Data Protection Officer) che non sia adeguatamente formato e aggiornato mette a rischio la correttezza del trattamento stesso e la sicurezza dei dati trattati.

Diventa quindi non solo opportuno ma indispensabile (anche per evitare le pesanti sanzioni previste dal GDPR) programmare una formazione periodica dei vari soggetti che partecipano al trattamento dei dati e alle connesse attività di controllo e, in ogni caso, con cadenza almeno annuale. Ovviamente, se nuovi soggetti iniziano a collaborare in queste attività, essi dovranno, indipendentemente dal loro inquadramento, essere formati in materia di privacy, prima di iniziare la collaborazione stessa.

Fonte:  Regolamento Europeo Privacy (GDPR)