La formazione costituisce un prerequisito per potere operare all’interno delle organizzazioni, imprese e pubbliche amministrazioni. Essa dovrebbe, alla luce dell’impianto del Regolamento, presentare un taglio interdisciplinare (con sessioni sia informatiche sia giuridiche sia sui profili organizzativi dell’Ente o Società) e pragmatico (come si evince dal termine “istruito” previsto all’art 29 e 32 del Regolamento) e riguardare tutti i soggetti.
La formazione deve essere finalizzata ad illustrare i rischi generali e specifici dei trattamenti di dati, le misure organizzative, tecniche ed informatiche adottate, nonché le responsabilità e le sanzioni.
L’obbligo formativo non deve essere in alcun modo sottovalutato da parte delle pubbliche amministrazioni e delle imprese: nel caso di mancata erogazione della formazione scatta, infatti, ai sensi dell’art. 83 par 4 del Regolamento privacy europeo, la rilevante sanzione amministrativa pecuniaria fino a 10 milioni di euro o, per le imprese, fino a 2 % del fatturato mondiale annuo dell’anno precedente se superiore.
L’adempimento degli obblighi formativi è sovente oggetto anche di accertamenti ispettivi da parte dell’Autorità Garante privacy e da parte della Guardia di Finanza che ha rinnovato nel 2016 il protocollo di intesa con l’Autorità.
Il Garante, in diversi casi, in sede ispettiva ha richiesto, infatti, di acquisire il programma ed il piano di formazione, le dispense, i materiali erogati, il test finale ed ha analizzato il profilo delle istruzioni agli incaricati al trattamento connesse all’accesso, alla consultazione delle banche dati, i livelli di autorizzazione e policy aziendali (ad esempio in materia di password aziendali e di videosorveglianza).
La formazione costituisce, pertanto, una misura di sicurezza per le organizzazioni, un onere a carico del titolare, un diritto e dovere per i dipendenti e i collaboratori.
Attività formativa di Pubbliche Amministrazioni e aziende.
Gli Enti pubblici e le imprese, pertanto, devono:
a) pianificare quanto prima un percorso ed un piano di formazione;
b) prevedere prove finali nel percorso formativo, e sessioni di aggiornamento alla luce delle modifiche normative, organizzative e tecniche;
c) individuare un percorso formativo alternativo, in caso di mancato superamento del test finale, ed un nuovo esame di verifica.
Nella progettazione dei corsi di formazione, occorre esaminare ed individuare: i fabbisogni formativi, la struttura dell’Ente o dell’impresa, i profili organizzativi, il target, i prerequisiti, le finalità generali e specifiche di ciascuna sessione formativa nonché le relative modalità di erogazione (in aula o a distanza) ed i precedenti corsi predisposti in materia.
In ambito pubblico la formazione sulla protezione dei dati dovrà integrarsi con la digitalizzazione dei processi, con la riforma del Codice di Amministrazione digitale, con disciplinari e regolamenti adottati, con i codici di comportamento degli enti e con le ultime recenti novità normative in materia di trasparenza, prevenzione della corruzione, Foia e whistleblowing.
Occorre, inoltre, stabilire aree di priorità di intervento, a titolo esemplificativo ma non esaustivo le figure apicali, gli amministratori di sistema, i nuovi assunti ed infine le persone autorizzate al trattamento.
Queste ultime, corrispondono agli ex incaricati del codice privacy e sono, sostanzialmente, tutti coloro che trattano dati personali.
La previsione di eventi formativi diretti al personale e ai collaboratori concretizza il principio di “accountability” ossia di responsabilizzazione del Titolare del trattamento, previsto dal Regolamento europeo n. 2016/679.
Il titolare deve dimostrare che il trattamento dei dati sia lecito, corretto, trasparente, pertinente, adeguato, legittimo e che vengano, inoltre, rispettati i principi di minimizzazione, di conservazione dei dati e siano previste misure di sicurezza adeguate.
I dipendenti e i collaboratori potranno, infatti, trattare i dati solo se autorizzati ed entro i limiti delle istruzioni impartite dal titolare, il quale potrà comunque avvalersi come intermediario di altro soggetto debitamente autorizzato.
Il programma ed il piano formativo costituiscono tasselli rilevanti del sistema di gestione privacy a norma UE in grado di concretizzare il principio di accountability inteso come capacità di dimostrare di avere adottato misure di sicurezza adeguate.
È necessario, per tale ragione, pubblicare il piano ed i relativi materiali formativi nella sezione intranet o sulla piattaforma software per la gestione della privacy al fine di costituire un presidio di informazione e aggiornamento a beneficio di tutta l’organizzazione insendo i sopra citati atti come allegati al registro del trattamento.
Nell’ottica di un miglioramento continuo e di una gestione in qualità del sistema privacy, è consigliabile prevedere sessioni informative on line per sensibilizzare anche gli utenti sul valore della protezione dei dati personali, come diritto collettivo e sull’utilizzo consapevole e responsabile di Internet.
La formazione deve essere considerata come un’opportunità per rendere consapevoli gli operatori dei rischi connessi al trattamento dei dati, delle misure di sicurezza da adottare, per migliorare i processi organizzativi e i servizi erogati, evitare danni reputazionali, ridurre i rischi di sanzioni amministrative e rendere più competitiva l’organizzazione.
Clicca qui per accedere al software ActaPrivacy dedicato alla gestione di tutti gli adempimenti previsti dal Nuovo Regolamento UE 2016/679
