IL REGOLAMENTO PRIVACY EUROPEO 679/16 (GDPR) PREVEDE L’OBBLIGO DELLA FORMAZIONE PER LE PUBBLICHE AMMINISTRAZIONI ED IMPRESE IN MATERIA DI PROTEZIONE DEI DATI PERSONALI PER TUTTE LE FIGURE PRESENTI NELL’ ORGANIZZAZIONE (SIA DIPENDENTI CHE COLLABORATORI).
Si tratta di una novità rilevante in quanto il decreto legge 9 febbraio 2012, n. 5, convertito, con modificazioni, dalla legge 4 aprile 2012, n. 35. aveva abrogato nel 2012 l’obbligo di formazione previsto al punto 19.6 del Disciplinare tecnico in materia di misure minime (allegato B al D.Lgs, 196 del 2004 “Codice della privacy) che prevedeva: “interventi formativi degli incaricati del trattamento, per renderli edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal titolare”.
La formazione privacy restava e resta obbligatoria nel settore sanitario v. art. 83 del Codice della Privacy che prevede l’obbligo delle strutture di attivare “ la messa in atto di procedure, anche di formazione del personale, dirette a prevenire nei confronti di estranei un’esplicita correlazione tra l’interessato e reparti o strutture, indicativa dell’esistenza di un particolare stato di salute” e di prevedere “la sottoposizione degli incaricati che non sono tenuti per legge al segreto professionale a regole di condotta analoghe al segreto professionale
L’art. 29 del sopra citato regolamento prevede, infatti, che “il responsabile del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del titolare del trattamento, che abbia accesso ai dati personali non può trattare tali dati se non è istruito in tal senso dal titolare …”.
Il Gruppo di lavoro ex 29 nel parere n. 3/2010 aveva individuato tra le misure comuni concernenti la responsabilità “un’adeguata formazione ed istruzione del personale in materia di protezione dei dati. Il personale in questione dovrebbe includere gli incaricati (o responsabili) del trattamento dei dati personali, ma anche dirigenti e sviluppatori in campo informatico e direttori di unità commerciali”.
La centralità della formazione* è confermata anche dall’art. 32 “Sicurezza del trattamento” paragrafo 4 che prevede che “il titolare del trattamento ed il responsabile del trattamento fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri
* L’importanza della formazione è ribadita, nell’ambito aziendale dall’art 47 rubricato “Norme vincolanti d’impresa” che prevede che le norme, che verranno applicate a gruppi d’impresa che trattano dati in più Stati, dovranno specificare “l’appropriata formazione in materia di protezione dei dati al personale che ha accesso permanente o regolare ai dati personali”.
La formazione costituisce, pertanto, un prerequisito per potere operare all’interno delle organizzazioni, imprese e pubbliche amministrazioni. Essa dovrebbe, alla luce dell’impianto del Regolamento, presentare un taglio interdisciplinare (con sessioni sia informatiche sia giuridiche sia sui profili organizzativi dell’Ente o Società) e pragmatico (come si evince dal termine “istruito” previsto all’art 29 e 32 del Regolamento) e riguardare tutti i soggetti.