Formazione GDPR

La formazione di incaricati e responsabili del trattamento dei dati personali, come già prevista alla regola n. 19.6 dell’allegato B – D.Lgs. 196/03, viene confermata dal nuovo regolamento sulla protezione dei dati personali, art. 29 che prescrive chiunque tratta dati personali deve essere stato preliminarmente istruito dal Titolare; all’art. 32 si richiamano misure tecniche e organizzative che devono essere testate, verificate e valutate.

Si tenga presente che la formazione costituisce una delle più importanti misure di sicurezza inerenti al trattamento dei dati personali, in quanto una persona può inconsapevolmente sbagliare e creare situazioni disastrose; nei vari “survey” internazionali, vengono evidenziate come nel 70% dei casi di “data loss”, le cause sono derivanti da deficit organizzativi, di processo e da errori umani.

Nel tempo ho purtroppo assistito a situazioni paradossali, nelle quali l’organizzazione aveva investito ingenti risorse nelle misure preventive e di sicurezza, ed un singolo individuo ha messo a repentaglio, in pochi secondi, tutta la sicurezza della infrastuttura installando (od utilizzando) un banale programma non autorizzato.

Organizziamo periodicamente corsi di formazione sulla protezione dei dati personali (chiamarli corsi sulla privacy è improprio) per classi omogenee di incaricati al trattamento (persone autorizzate al trattamento oppure soggetti designati); difatti vi sono casi nei quali i soggetti trattano dati personali esclusivamente comuni, altri sensibili, genetici, giudiziari (adesso dati particolari) in strutture sanitarie, studi medici, legali, assicurativi … ; ognuna di queste categorie necessita di una base di conoscenze comune, ma anche di entrare nello specifico dei particolari rischi che incombono su alcune specifiche tipologie (ed ovviamente delle specifiche contromisure).

L’art. 82, comma 1, del Regolamento, stabilisce che “Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento“.

Il titolare ha l’onere di adottare misure di prevenzione e riduzione del rischio di violazione di dati personali; la formazione, se fatta seriamente, è la prima di queste.