Formazione incaricati al trattamento dei dati personali: obbligo o no?

Fra le domande che più spesso mi vengono rivolte, “ma è vero che la formazione privacy non è più obbligatoria?” ; vediamo di chiarire.

Dall’introduzione del D.Lgs. 196/03, viene previsto l’obbligo formativo degli Incaricati al trattamento dei dati personali, nella regola n. 19.6 dell’allegato B, relativo alle misure di sicurezza.
Successivamente il Governo Monti, nel mese di Aprile 2012, con il decreto “Semplifica Italia” ha soppresso tale regola, lasciando tuttavia invariato l’obbligo del Titolare di rendere edotti Responsabili ed Incaricati.
Il testo abrogato indicava la previsione di “interventi formativi degli incaricati del trattamento (da effettuarsi prima dell’ingresso nel ruolo), per renderli edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal titolare”.

L’obbligo quindi, ad Aprile 2012, è venuto meno.

Dato che la gran parte dei rischi che incombono sui dati personali derivano proprio da come gli incaricati li trattano, in questi anni è successo di tutto; forse abbiamo semplificato troppo.

Il nuovo codice G.D.P.R. prescrive all’art. 29 che chiunque tratta dati personali deve essere stato preliminarmente istruito dal Titolare; all’art. 32 si richiamano misure tecniche e organizzative che devono essere testate, verificate e valutate; nella Sezione 4 dedicata al D.P.O. si prescrive che esso deve avere competenze professionali qualificate e deve sorvegliare sulla formazione di tutta l’azienda; ed inoltre c’è il nuovo concetto di “accountability“.

Da tutto ciò si evince che tutte le organizzazioni, dal 25 maggio prossimo, dovranno formare il personale che tratta dati personali, ed il grado di formazione deve essere verificato e verificabile. Non solo per evitare un reato penale, a carico del Titolare del Trattamento, ma perchè rendere edotti gli incaricati delle corrette modalità del trattamento (e degli errori da non fare) è la prima e più importante misura di sicurezza.

Contattatemi per un corso di formazione per i vostri dipendenti (incaricati al trattamento dei dati personali) calibrato su misura per le vostre esigenze aziendali.

Accountability nel GDPR

Il nuovo regolamento europeo 679/2016 modifica radicalmente l’approccio finora adottato, introducendo il concetto di accountability (tradotto come responsabilizzazione, ma che significa “dover rendere conto del proprio operato”).

Con la regolamentazione attuale e precedenti, l’approccio alla sicurezza era di tipo “reattivo“; si determinavano misure di sicurezza, spesso minime, e si reagiva quando esse non erano sufficienti.

L’esperienza ha dimostrato l’inadeguatezza di questo schema; adesso viene richiesto a titolari e responsabili un approccio proattivo, con comportamenti che prevengano (e/o riducano) in modo effettivo il possibile evento dannoso.

Infatti, con un parere del Gruppo di Lavoro Articolo 29, si è specificato che “il titolare del trattamento dei dati debba essere in grado di dimostrare di avere adottato un processo complessivo di misure giuridiche, organizzative, tecniche, per la protezione dei dati personali, anche attraverso l’elaborazione di specifici modelli organizzativi e che debba dimostrare in modo positivo e proattivo che i trattamenti di dati effettuati sono adeguati e conformi al regolamento europeo in materia di privacy.”

Quindi non più misure minime di sicurezza, ma l’introduzione e l’applicazione di un sistema di misure (giuridiche, organizzative, di sicurezza, …) definite dal titolare come adeguate e rispondenti alle norme del nuovo codice di protezione.

Senza dimenticare la responsabilizzazione e la formazione dei responsabili e degli incaricati al trattamento dei dati personali.

Formazione DPO Data Protection Officer

Perchè Data Protection Officer?

Il Data Protection Officer (di seguito anche D.P.O. oppure DPO) è un ruolo chiave, introdotto dal Regolamento Generale sulla Protezione dei Dati E.U. 2016/679.
Il DPO, figura peraltro già presente in alcune legislazioni europee (talvolta indicato come Chief Privacy Officer, Privacy Officer, Data Protection Officer o Data Security Officer), è un professionista che ha un ruolo determinante per migliorare la sicurezza nel trattamento di dati della organizzazione.

Chi deve obbligatoriamente nominare il DPO?

  • una pubblica amministrazione che tratta dati personali (eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali);
  • una organizzazione che effettua monitoraggio, regolare, sistematico e su larga scala degli interessati;
  • una organizzazione che tratta, su larga scala, particolari categorie di dati sensibili o dati relativi a reati e condanne penali.

Le altre organizzazioni potranno comunque nominare il DPO, quale misura di maggior tutela dei propri trattamenti; in tal caso, il DPO acquisterà tutti i doveri e dovrà rispettare tutte le norme previste dal nuovo codice.

Quali sono i compiti del DPO

I compiti primari del DPO sono:

  1. informare e fornire consulenza al Titolare e al Responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal GDPR, nonché da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati;
  2. sorvegliare l’osservanza del GDPR, di altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del Titolare del trattamento o del Responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;
  3. fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell’articolo 35;
  4. cooperare con l’Autorità di Controllo (Garante per la Protezione dei Dati Personali);
  5. essere il punto di contatto dell’Autorità di Controllo per questioni connesse al trattamento dei dati personali, tra cui la consultazione preventiva di cui all’articolo 36, ed effettuare, se necessario, consultazioni relativamente a qualunque altra questione.

Chi può essere nominato DPO?

In base all’articolo 37, paragrafo 5 GDPR, il DPO “è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all’articolo 39”. Viene anche previsto che il livello necessario di conoscenza specialistica dovrebbe essere determinato in base ai trattamenti di dati effettuati e alla protezione richiesta per i dati personali oggetto di trattamento.
Allo stato attuale non esiste alcun schema di certificazione, corso, percorso formativo o seminario che abiliti al ruolo di D.P.O. ; sono invece importanti (e quindi obbligatoriamente richieste) esperienza e competenze professionali, così come la conoscenza delle normative nazionali ed europee; è necessaria anche una formazione adeguata e continua.

La figura DPO esterna

Le organizzazioni pubbliche di dimensioni limitate possono incaricare una figura esterna, che abbia i requisiti previsti, di rivestire il ruolo di DPO esterno. Alcune organizzazioni complesse potranno nominare una figura giuridica esterna (team di esperti) quando i processi di trattamento dei dati necessitano di particolari competenze interdisciplinari.

Autonomia del DPO

Il regolamento GDPR indica le garanzie essenziali per consentire al DPO di operare con un grado sufficiente di autonomia nella organizzazione del titolare del trattamento. Esso non dovrà ricevere alcuna istruzione sullo svolgimento dei propri compiti, che dovrà svolgere in modo indipendente. Avrà a disposizione un budget adeguato che gestirà autonomamente per i compiti assegnati, compreso quello della propria formazione continua.

Responsabilità del DPO

La nomina del DPO non solleva le organizzazioni dalle proprie responsabilità; infatti, si tratta di una figura di consulenza e controllo, priva di responsabilità esecutive; essa esprime solo pareri, ma le decisioni finali e le conseguenti responsabilità sono assunte dal Titolare del Trattamento dei Dati Personali ed in solido, dal responsabile del Trattamento dei Dati Personali.

Sono in grado di offrire supporto alle pubbliche amministrazioni per i processi di selezione, oppure alla formazione, relative alla nomina al ruolo DPO (D.P.O.), nelle province della Toscana (Arezzo, Siena, Grosseto, Livorno, Lucca, Massa e Carrara, Pisa, Pistoia, Prato), nelle province del Lazio (Frosinone, Latina, Rieti, ROMA, Viterbo), nelle province dell’Umbria (Perugia, Terni), nelle province della Emilia Romagna (Bologna, Ferrara, Forlì-Cesena, Modena, Parma, Piacenza, Ravenna, Reggio Emilia, Rimini), nelle province delle Marche (Ancona, Ascoli Piceno, Fermo, Macerata, Pesaro e Urbino).