Formazione obbligatoria Privacy: facciamo chiarezza

22/12/2016
di Silvia Calissi

Attualmente non obbligatoria, ma funzionale per nomine e modello 231, dal Maggio 2018 la formazione sulla Privacy sarà obbligatoria per tutta l’azienda che dovrà quindi prevedere un budget dedicato.

ico_23478417_xlDal confronto con i referenti aziendali, emerge spesso la domanda:

La formazione privacy è un obbligo di Legge?

Sintomo di una confusione spesso alimentata da chi vuol vendere prodotti formativi standardizzati senza chiarire i presupposti di una corretta gestione dei dati.

La risposta si complica, inoltre, considerando che viene posta nel particolare periodo di passaggio dal regime italiano del D. Lgs. 196/2003 al nuovo quadro europeo della General Data Protection Regulation (GDPR), che incide significativamente sull’argomento.

Ripercorrendo i dettami normativi in sintesi, si può affermare che:

  • il Codice Privacy prevedeva l’obbligo formativo nella regola n. 19.6 dell’Allegato B, relativo alle misure di sicurezza;
  • il Decreto “Semplifica Italia” del 2012 ha soppresso tale regola, lasciando tuttavia invariato l’obbligo del Titolare di rendere edotti Responsabili ed Incaricati dei doveri indicati nelle nomine;

Il punto abrogato nel 2012 indicava la previsione di “interventi formativi degli incaricati del trattamento, per renderli edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal titolare”. Inoltre, la formazione era programmata in momenti precisi rispetto ai ruoli (l’ingresso in servizio, in occasione di cambiamenti di mansioni, di introduzione di nuovi strumenti).

Per quanto l’obbligo sia venuto meno, comunque, la formazione rimane ad oggi l’unico strumento per fornire ai Responsabili e agli Incaricati la competenza necessaria per rispettare le istruzioni indicate nelle loro nomine. Per questo motivo, l’intervento formativo deve essere progettato attorno all’azienda e settorializzato rispetto al ruolo.

Ma quali novità sulla formazione con il Nuovo Regolamento Europeo Privacy?

formaz_19046174_xxlLa GDPR prescrive all’art. 29 che chiunque tratta dati personali deve essere stato istruito dal Titolare; all’art. 32 si fa riferimento a misure tecniche e organizzative che devono essere testate, verificate e valutate; nella Sezione 4 dedicata al DPO si prescrive che esso deve avere competenze professionali qualificate e deve sorvegliare sulla formazione di tutta l’azienda (training of staff, art.39).

Ciò significa che le aziende devono implementare dei processi formativi che rispondano ai requisiti delle Misure di Sicurezza: testabili, verificabili e valutabili per chiunque gestisca dati personali. In caso di violazione degli articoli 29 e 39 si rientra nelle sanzioni fino a 10 milioni o il 2% del fatturato mondiale annuo.

L’intento è di legare l’effettività del Regolamento alle competenze del personale: non è più possibile considerare la privacy e la protezione dei dati come un mero adempimento documentale e burocratico, perché l’efficacia dei processi aziendali passa dal personale interno formato e culturalmente predisposto. In termini di ROI (Return on Investment) significa investire per migliorare i processi organizzativi, proteggere la reputazione aziendale e ridurre i rischi di sanzioni amministrative.

Tutto questo presuppone una progettazione degli interventi formativi basata sulla dimensione, la struttura e il business aziendale, individuando specifiche esigenze formative per rendere effettiva la compliance al Regolamento Europeo.

Riproduzione riservata ©

ALTRE NEWS

Videosorveglianza: nuovi interventi del Garante

Nuovi interventi del Garante contro i sistemi di videosorveglianza illeciti. Accolto il ricorso di un dentista che temeva per la privacy dei suoi pazienti ripresi… Leggi Tutto

Banche e Bitcoin: i reciproci ruoli – III e ultima parte

Con la pubblicazione da parte della Banca Centrale Europea del documento di lavoro Virtual Currency Schemes, rilasciato nell’Ottobre 2012, si è inaugurato per la prima… Leggi Tutto

UPDATE: Comunicazione dati fatture: posticipata la scadenza del 16 (18) settembre

UPDATE: Un DPCM di prossima pubblicazione in Gazzetta Ufficiale, su proposta del Ministro dell’Economia e delle Finanze Pier Carlo Padoan, posticipa al 28 settembre 2017… Leggi Tutto

COLIN & PARTNERS

CHI SIAMO


Consulenza legale specializzata sul diritto delle nuove tecnologie

CONOSCIAMOCI
CHI SIAMO

Cultura e innovazione

SPEECH & EVENTI


Le nostre competenze a disposizione della vostra azienda

I prossimi appuntamenti

Colin Focus Day – GDPR e Compliance Software: la metodologia certificata di Colin & Partners

Appuntamento a Milano il 5 febbraio dalle ore 14.00.

Affronteremo i 5 temi chiave della Compliance di cui tiene ampiamente conto la metodologia certificata e lo schema di analisi di Colin & Partners.

CONTATTACI

OPERIAMO
A LIVELLO
GLOBALE


Tel. +39 0572 78166

Tel. +39 02 87198390

info@consulentelegaleinformatico.it

Compila il form