Obblighi normativi e obblighi formativi

Qualsiasi normativa che viene emanata per regolamentare un determinato settore individua dei precisi limiti di azione, enuncia una serie di prescrizioni, impone delle sanzioni in caso di violazione.
Nel caso in cui la normativa preveda la definizione di ruoli, magari a più livelli in termini di responsabilità, da quelli più apicali fino a quelli prettamente operativi, solitamente impone dei requisiti per l'accesso a tali funzioni e un preciso iter formativo, specifico a seconda del ruolo da ricoprire.


La formazione secondo il Codice della Privacy

obbligo normativo formazione GDPR

Il D.Lgs. 2003/196, già nella prima versione, è stato un pilastro fondamentale nel riconoscimento dei diritti delle persone fisiche in merito al trattamento dei propri dati. La norma è stata incardinata in un testo che prevedeva precise azioni da compiere e conteneva nei suoi allegati prescrizioni dettagliate. In particolare l'allegato B, focalizzato sulle misure concrete circa la sicurezza delle informazioni trattate, presentava l'obbligo formativo del personale (incaricati del trattamento dei dati personali). Al punto 19.6 vi era infatti l'indicazione, tra le altre informazioni che costituivano il Documento Programmatico sulla Sicurezza (DPS), circa:

"la previsione di interventi formativi degli incaricati del trattamento, per renderli edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal titolare. La formazione è programmata già al momento dell’ingresso in servizio, nonché in occasione di cambiamenti di mansioni, o di introduzione di nuovi significativi strumenti, rilevanti rispetto al trattamento di dati personali;

passata riduzione obblighi di legge D.Lgs. 2003/196

Il Decreto Legge 9 febbraio 2012 n.5 noto come "Semplifica Italia", con l'art. 45 comma d), ha successivamente abrogato la redazione e l'aggiornamento annuale del Documento Programmatico sulla Sicurezza. Nonostante rimanesse in vigore l'obbligo del titolare di informare adeguatamente responsabili e incaricati dei doveri e responsabilità connessi con le rispettive nomine, ciò ha comportato il crollo dell'intera architettura di protezione dei dati personali e della cultura specifica di cui l'Italia era apripista a livello continentale.


L'approvazione e l'entrata in vigore del GDPR

entrata in vigore regolamento UE 2016/679

A coronamento degli sforzi di uniformare e rafforzare le normative nazionali vigenti in materia di privacy, l'Unione Europea è giunta all'emanazione del Regolamento UE 2016/679 che prevedeva un percorso biennale di transizione e la definitiva applicazione anche del sistema sanzionatorio il 25 maggio 2018.
In merito all'obbligo formativo per i soggetti con un ruolo attivo nei trattamenti dei dati personali, questo è stabilito in almeno tre articoli del Regolamento (o GDPR - General Data Protection Regulamentation):

L'articolo 29, relativo al trattamento svolto dai soggetti sotto l'autorità di titolare o responsabile, prevede che ciò con può avvenire se questi non ricevono istruzioni specifiche dal titolare del trattamento.
L'articolo 32, che si occupa di come garantire la sicurezza del trattamento, al punto 4 ribadisce la necessità di fornire precise istruzioni ai soggetti che effettuano il trattamento di dati personali.
L'articolo 39, incardinato nella sezione dedicata al responsabile della protezione dei dati (o DPO - Data Protection Officer), ai primi due punti prevede che ricada su di esso la funzione di informazione circa gli obblighi discendenti dalla normativa sui soggetti attivi nel trattamento nonché di controllo e formazione degli stessi.


La formazione: elemento fondamentale per l'accountability rispetto al GDPR

responsabilità nell'obbligo formativo GDPR

Un filo conduttore, molto più robusto di quanto si possa immaginare a un'occhiata poco attenta, collega le norme che si sono succedute nel tempo sull'obbligo di formazione del personale coinvolto nel trattamento dei dati personali. La normativa vigente impone in maniera esplicita e a più riprese di fornire una adeguata preparazione ai soggetti attivi nel trattamento, a seconda del preciso ruolo da questi ricoperto.
L'obbligo rimane precisa responsabilità del Titolare del Trattamento, ma anche sul Responsabile della Protezione dei Dati ricade il controllo dell'efficacia della formazione e il suo mantenimento nel corso del tempo.

Esperienza Privacy Evo nel settore Privacy e GDPR