Premessa: la formazione prima di essere obbligatoria è necessaria. Sempre.
Il riferimento normativo in cui cercare la risposta alla domanda è l’art. 29 del G.D.P.R. che recita: “Il responsabile del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del titolare del trattamento, che abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri”.
La norma in esame custodisce in sé l’essenza del Regolamento stesso, espressione diretta del principio cardine della responsabilizzazione (accountability), concetto che sottolinea l’obbligo, da parte dei titolari del trattamento, di motivare il proprio comportamento per adempiere agli obblighi previsti dalla normativa in materia di privacy e trattamento dei dati personali, di avere cioè effettuato il trattamento in conformità al G.D.P.R. (art. 5 Regolamento) e di aver adottato misure tecniche e organizzative adeguate a proteggere i dati (art. 25 Regolamento). Con l’introduzione del principio di accountability, dunque, ogni soggetto che a qualsiasi titolo si trovi a trattare dati personali è responsabile di tale trattamento e, per effettuare tale trattamento deve a ciò essere stato istruito dal Titolare.
Prerequisito fondamentale per poter trattare un dato è l’istruzione, ovvero essere stati destinatari di un percorso teorico e pratico di conoscenza; questo riguarda, indistintamente, tutti i soggetti che agiscono sotto l’autorità del titolare o del responsabile (istruire un soggetto significa costruire, dare una struttura, dal latino “instruĕre“).
Documentare le istruzioni fornite diventa necessario per poter dimostrare di aver assolto alla richiesta legislativa e garantire la corretta attuazione del principio di responsabilizzazione.
I termini “formazione” ed “istruzione” si trovano in tutto il Regolamento rispettivamente cinque e due volte soltanto. Cosa fa, dunque della formazione piuttosto che dell’acquisizione di puntuali istruzioni un obbligo piuttosto che una facoltà del titolare? Innanzitutto la normativa che la prevede esplicitamente; alla stregua della formazione di tutti gli strumenti che vengono utilizzati dal lavoratore (o dal collaboratore in senso lato) deve essere garantita a chi esegue qualsiasi trattamento di dati una adeguata preparazione su come procedere a tale trattamento. Il principio della responsabilizzazione impone, pertanto, l’adozione di comportamenti responsabili che dimostrino la consapevolezza dell’importanza delle misure di protezione dei dati personali.
In secondo luogo (e conseguentemente) la formazione non deve essere considerata come un mero adempimento burocratico, bensì un’opportunità per le aziende di rendere consapevoli i propri operatori dei rischi connessi al trattamento dei dati e delle misure di sicurezza; la protezione dei dati personali, oltre che diritto collettivo, non è in capo a qualcuno nell’organizzazione. La sicurezza (tutta la sicurezza!) si fa insieme.
Infine, se non bastassero le indicazioni legislative indicate (G.D.P.R.) da cui discende l’obbligo della formazione/istruzione a tutti i livelli organizzativi quale misura di sicurezza, preme sottolineare che la mancata formazione privacy è considerata una violazione di legge ed è soggetta al pagamento di una sanzione amministrativa sino a 20.000.000 di euro o al 4% del fatturato di gruppo.
Prevenire è meglio che curare. Sempre
PrivacyModena.eu 