GDPR e sanzioni: obbligo di formazione per autorizzati, designati e DPO

Ad un anno dalla piena applicabilità del GDPR, spesso ci si domanda quale sia il reale livello di adeguamento nazionale degli enti, sia in ambito pubblico che privato e il livello di “consapevolezza” e attenzione in materia di protezione dati, raggiunto dai Titolari e Responsabili del trattamento dei dati personali (e ovviamente dipendenti delle varie strutture).

Per comprendere al meglio lo spirito del GDPR, è opportuno richiamare l’attenzione sul principio cardine del Regolamento, ossia quello di accountability (responsabilizzazione): colui che deve adottare e rispettare le regole e principi del GDPR è chiamato a conoscere in primis la realtà in cui opera, gli strumenti di cui è dotato, il personale che ha a disposizione e i contenuti della propria attività. Solo attraverso questa indagine interna, propedeutica per la conoscenza della propria struttura, ci si può realmente rendere conto dello stato in cui si versa dal punto di vista della “privacy”.

Il Titolare del trattamento deve in realtà poter dimostrare non solo di essersi attenuto alle regole del GDPR, ma, soprattutto, di aver posto in essere tutta una serie di attività (che egli stesso dovrà essere in grado di giustificare) dalle quali sarà facilmente deducibile la sua soglia di attenzione rispetto alla materia.

L’approccio all’accountability non riguarda solo la parte tecnologica o strettamente legata alla sicurezza di un’impresa o di una PA o di uno studio professionale, ma anche e soprattutto l’assegnazione dei ruoli, la loro documentata competenza e – di grande rilievo, ma spesso ignorato – lo sviluppo di piani formativi.

All’interno dell’organizzazione aziendale l’accountability si esprime, quindi, in metodi di lavoro, assegnazioni di compiti e scelte consapevoli e documentate, orientate anche attraverso una maturazione garantita da adeguata formazione sia per coloro che coordinano i trattamenti (che possiamo chiamare “designati al coordinamento”) e sia per coloro che devono eseguire le loro indicazioni (gli autorizzati istruiti a trattare i dati per conto dell’ente in cui operano).

Il GDPR sul tema è piuttosto chiaro: chiunque agisca sotto l’autorità del Responsabile del trattamento o sotto quella del Titolare del trattamento e che abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso dal Titolare stesso (art.29). Del resto, anche il Gruppo di lavoro ex 29 già nel parere n. 3/2010 aveva individuato tra le misure comuni concernenti la responsabilità “un’adeguata formazione e istruzione del personale in materia di protezione dei dati. Il personale in questione dovrebbe includere gli incaricati (o responsabili) del trattamento dei dati personali, ma anche dirigenti e sviluppatori in campo informatico e direttori di unità commerciali”.

È certo che la definizione di un piano formativo in grado di armonizzare le competenze interne delle diverse funzioni coinvolte sia indispensabile per un corretto processo di adeguamento alla normativa in materia di protezione dei dati personali, considerando lo spirito funzionale che anima il GDPR. Non a caso anche l’art. 32 “Sicurezza del trattamento” al paragrafo 4 insiste sul concetto, prevedendo che “il titolare del trattamento ed il responsabile del trattamento fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri”.

La formazione, oltre a costituire un “prerequisito” per potere operare all’interno delle organizzazioni, imprese e pubbliche amministrazioni, dovrebbe essere finalizzata a illustrare i rischi generali e specifici dei trattamenti di dati, le misure organizzative, tecniche e informatiche adottate, nonché le responsabilità e le sanzioni.

La centralità dell’obbligo formativo investe anche la figura del tanto nominato DPO (Data Protection Officer), il quale, oltre a fornire attività di informazione, consulenza e indirizzo nei confronti di Titolare o Responsabile, secondo quanto previsto dall’articolo 39, paragrafo 1, lettera b), è incaricato di sorvegliare l’osservanza del Regolamento (…) e della formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;

Inoltre, oltre a svolgere attività di consulenza e formazione, secondo quanto stabilito dall’articolo 38, paragrafo 2, del GDPR, il DPO deve ricevere dal Titolare del trattamento o dal responsabile del trattamento “le risorse necessarie per assolvere tali compiti e accedere ai dati personali e ai trattamenti e per mantenere la propria conoscenza specialistica”. Ciò si traduce quindi in un obbligo di formazione permanente del DPO.

Questi soggetti, infatti, devono avere la possibilità di curare il proprio aggiornamento con riguardo agli sviluppi nel settore della protezione dati. Tutto ciò mira, in ultima analisi, a consentire un incremento continuo del livello di competenze proprio dei DPO, i quali dovrebbero essere incoraggiati a partecipare a corsi di formazione su materie attinenti alla protezione dei dati e ad altre occasioni di professionalizzazione (forum in materia di privacy, workshop, ecc.).

Il rispetto dei vari obblighi di formazione già menzionati, può essere oggetto di controlli da parte dell’Autorità Garante (e dai Nuclei operativi di controllo privacy della Guardia di Finanza).

In caso di mancato adempimento formativo, infatti, si può incorrere in sanzioni amministrative pecuniarie fino a 10 milioni di euro o, per le imprese, fino a 2 % del fatturato mondiale annuo dell’anno precedente, ai sensi dell’art. 83, par. 4 del Regolamento.

L’obbligo di formazione del personale non deve essere inteso ovviamente come un mero adempimento formale, motivato dal solo timore di incorrere in sanzioni. Un’appropriata formazione multidisciplinare deve essere considerata un’opportunità per l’organizzazione e consente agli “addetti ai lavori” di comprendere i potenziali rischi correlati al trattamento di dati personali e di agire nel pieno rispetto delle regole in materia.

[Articolo edito su Rivista Euroconference Legal]

Cookie	Durata	Descrizione
AWSALBCORS	7 days	This cookie is managed by Amazon Web Services and is used for load balancing.
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Analytics" category .
cookielawinfo-checkbox-necessary	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Necessary" category .
cookielawinfo-checkbox-others	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Others".
PHPSESSID	session	This cookie is native to PHP applications. The cookie is used to store and identify a users' unique session ID for the purpose of managing user session on the website. The cookie is a session cookies and is deleted when all the browser windows are closed.
viewed_cookie_policy	1 year	The cookie is set by the GDPR Cookie Consent plugin to store whether or not the user has consented to the use of cookies. It does not store any personal data.
WLM_TEST_COOKIE	session	This cookie is used by the WishList Member. It checks whether the browser has enabled cookies or not.

Cookie	Durata	Descrizione
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_1975075_20	1 minute	Set by Google to distinguish users.
_gat_gtag_UA_92784998_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
CONSENT	16 years 3 months	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
vuid	2 years	Vimeo installs this cookie to collect tracking information by setting a unique ID to embed videos to the website.

Cookie	Durata	Descrizione
IDE	1 year 24 days	Google DoubleClick IDE cookies are used to store information about how the user uses the website to present them with relevant ads and according to the user profile.
test_cookie	15 minutes	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.

Cookie	Durata	Descrizione
AWSALB	7 days	AWSALB is a cookie generated by the Application load balancer in the Amazon Web Services. It works slightly different from AWSELB.
captcha-cookie	1 day	No description
ccc	1 month	No description
xb	1 year	No description available.

GDPR e sanzioni: obbligo di formazione per autorizzati, designati e DPO

Master PERF.ET

WebTV MRTV ‖ Lo ho-BIT – una digicrazia inaspettata

Di

Newsletter

Lecce

Milano

Roma

Biella

Castellammare di Stabia

NAVIGA