GDPR 679/2016 art. 39, lett. b) Data Protection Officer ha il compito di “formare il personale che partecipa ai trattamenti”

formazione-addetti-1280x720

Il Codice Privacy (D.lgs. n. 196/2003), in relazione alle misure minime di sicurezza di cui all’All. B), paragrafo 19.6, prevedeva la necessità di predisporre interventi formativi degli incaricati del trattamento, per renderli edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal titolare.

Attraverso questa disposizione inserita nell’ambito degli adempimenti necessari ai fini della redazione del “Documento Programmatico sulla Sicurezza” (ex DPS), il legislatore aveva imposto la formazione degli incaricati del trattamento affinché, questi, fossero resi edotti dei rischi e degli obblighi connessi al trattamento di dati personali.

La formazione doveva essere programmata “al momento dell’inserimento dell’incaricato in servizio, in occasione di mutamento di mansioni o nel caso di introduzione di nuovi e significativi strumenti, rilevanti rispetto al trattamento dei dati personali” e comunque in occasione della predisposizione del DPS, ossia il 31 marzo di ogni anno. Tale disposizione era altresì presidiata dalle sanzioni di cui agli artt. 169 e 162-bis del Codice Privacy, le quali rispettivamente prevedono la pena dell’arresto fino a due anni e una sanzione amministrativa pecuniaria da diecimila a cinquantamila euro.

L’obbligo di formazione di cui al par. 19.6 dell’All. b) è però oggi venuto meno per effetto dell’art. 45 co. I lett. d) D.L. n. 5/2012, poi convertito nella Legge n. 35/2012, il quale ha abrogato l’obbligo di predisporre, entro il 31 marzo di ogni anno, il DPS. Quindi, all’interno degli strumenti normativi predisposti dal legislatore nazionale, è possibile affermare come, allo stato, non sia prevista una formazione di tipo “obbligatorio” per gli incaricati del trattamento, ossia per “le persone fisiche autorizzate a compiere operazioni di trattamento dal titolare o dal responsabile” (art. 4 co. I lett. h) D.lgs. n. 196/2003).

È necessario rilevare che, in data 25 maggio 2016, è entrato in vigore ilRegolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati). In virtù dei vincoli derivanti dell’ordinamento dell’Unione Europea, al fine di analizzare l’obbligatorietà, o meno, della formazione in materia di Privacy, non si potrà prescindere dalle indicazioni provenienti dal Regolamento citato.

L’art. 29 del Regolamento prevede che “Il responsabile del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del titolare del trattamento, che abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri.”

Anche se la parola istruire potrebbe ingenerare confusione relativamente agli obblighi formativi sussistenti in capo al Titolare o al Responsabile del Trattamento (per esempio “istruire” potrebbe essere inteso non come un obbligo formativo, ma come la necessità che il Titolare fornisca delle semplici istruzioni operative al Responsabile del trattamento), la Sezione IV del Regolamento fornisce utili indicazioni in merito alla necessità di formare il personale incaricato del trattamento dei dati personali degli interessati.

A tal fine, gli artt. 37-39 stabiliscono che, nei casi previsti dal Regolamento, sia designato, quale Data Protection Officer (o DPO), il quale sarà designato “in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all’articolo 39”. Il Titolare o il Responsabile del trattamento dovranno stanziare le risorse necessarie affinché il DPO possa essere in grado di assolvere i compiti affidatigli dal Regolamento, tra i quali rientra quello di mantenere una conoscenza aggiornata in materia di trattamento di dati.

Infine al DPO viene affidato, dall’art. 39, lett. b), il compito di “formare il personale che partecipa ai trattamenti”, attribuendo così a tale figura un compito proattivo nella gestione della formazione del personale che effettua un trattamento di dati personali.

La formazione viene poi menzionata all’interno dell’art. 47, lett. n) in merito alla predisposizione delle “norme vincolanti di impresa”, la quali dovranno essere applicate dai gruppi di imprese che si trovano ad operare contemporaneamente in diversi Paesi. L’articolo citato prevede che, tali norme, dovranno specificare almeno: “l’appropriata formazione in materia di protezione dei dati al personale che ha accesso permanente o regolare ai dati personali.”

Dalla lettura delle disposizioni del Regolamento citato risulta chiaro che l’obbligo di formazione del personale debba intendersi come generalizzato ed esteso a tutti i soggetti che, all’interno di un’organizzazione di media complessità, trattano i dati personali degli interessati. Tale obbligo, a riconferma dell’importanza della formazione nell’ambito della normativa in materia di trattamento di dati personali, è altresì corredato dalle sanzioni di cui all’art. 83, paragrafo 4 (il quale assoggetta la violazione dell’articolo 39 a una sanzione amministrativa pecuniaria fino a 10 milioni di euro o, per le imprese, fino al 2-4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore).

Infine, l’obbligo di formazione per gli incaricati al trattamento, sebbene non più previsto come obbligatorio dalla normativa italiana in materia di privacy, è oggi generalmente ripristinato dal Regolamento 679/2016 (UE), il quale dovrà essere definitivamente implementato entro il 25 maggio 2018.

Le Aziende, le P.A. e chi ha dipendenti, fino a tale data, non sembrano legalmente obbligate a predisporre la formazione del proprio personale in materia di Privacy anche se, vista la natura e i rischi connessi al trattamento di dati personali, la stessa potrebbe ritenersi consigliata o comunque auspicabile.

Un ultima questione che sorge sul punto è la necessaria periodicità della formazione del personale incaricato del trattamento di dati personali. Sul punto è necessario rilevare come l’abrogata normativa di cui al punto 19.6 dell’All. B) al D.lgs n. 196/2003 prevedeva l’obbligo di programmazione della formazione “già al momento dell’ingresso in servizio, nonché in occasione di cambiamenti di mansioni, o di introduzione di nuovi significativi strumenti, rilevanti rispetto al trattamento di dati personali e comunque in occasione dell’adozione del DPS entro il 31 marzo di ogni anno. Come sopra detto, venuto meno tale obbligo in virtù del D.L. n. 5/2012, poi convertito nella Legge n. 35/2012, è possibile riscontrare come attualmente il Regolamento nulla preveda sul punto, creando così un vuoto normativo, che sicuramente verrà presto colmato dal legislatore nazionale, ed in ogni caso l’adempimento costante della formazione è stato chiaramente valutato dal Garante come un “elemento di indulgenza e condotta proattiva aziendale” in caso di controlli ispettivi e nel caso delle possibili sanzioni susseguenti.

A fronte della lacuna normativa riscontrata, sembra logico e coerente prevedere un aggiornamento costante della formazione del personale in relazione alle ipotesi già previste nell’abrogata normativa.

Inoltre l’obbligo è finalizzato a fare in modo che i soggetti preposti al trattamento dei dati personali siano consapevoli dei rischi connessi a tale attività, qualificata espressamente come pericolosa, ai sensi dell’art 2050 c.c. e dall’art. 15 co. I D.lgs. n. 196/2003.

A fronte di tutto quanto evidenziato, non essendo stato previsto almeno finora alcun obbligo formativo a carattere periodico, la formazione dovrà essere predisposta in caso di inserimento in azienda di nuove risorse incaricate del trattamento di dati personali, in caso di mutamento di mansioni ed in caso di introduzione di strumenti rilevanti e nuovi rispetto al trattamento di dati.

O.L.I.T. Informatica

 

Licenza Creative Commons
Quest’opera è distribuita con Licenza Creative Commons Attribuzione – Non commerciale 4.0 Internazionale.

Annunci