Formazione obbligatoria Privacy: facciamo chiarezza

22/12/2016
di Silvia Calissi

Attualmente non obbligatoria, ma funzionale per nomine e modello 231, dal Maggio 2018 la formazione sulla Privacy sarà obbligatoria per tutta l’azienda che dovrà quindi prevedere un budget dedicato.

ico_23478417_xlDal confronto con i referenti aziendali, emerge spesso la domanda:

La formazione privacy è un obbligo di Legge?

Sintomo di una confusione spesso alimentata da chi vuol vendere prodotti formativi standardizzati senza chiarire i presupposti di una corretta gestione dei dati.

La risposta si complica, inoltre, considerando che viene posta nel particolare periodo di passaggio dal regime italiano del D. Lgs. 196/2003 al nuovo quadro europeo della General Data Protection Regulation (GDPR), che incide significativamente sull’argomento.

Ripercorrendo i dettami normativi in sintesi, si può affermare che:

  • il Codice Privacy prevedeva l’obbligo formativo nella regola n. 19.6 dell’Allegato B, relativo alle misure di sicurezza;
  • il Decreto “Semplifica Italia” del 2012 ha soppresso tale regola, lasciando tuttavia invariato l’obbligo del Titolare di rendere edotti Responsabili ed Incaricati dei doveri indicati nelle nomine;

Il punto abrogato nel 2012 indicava la previsione di “interventi formativi degli incaricati del trattamento, per renderli edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal titolare”. Inoltre, la formazione era programmata in momenti precisi rispetto ai ruoli (l’ingresso in servizio, in occasione di cambiamenti di mansioni, di introduzione di nuovi strumenti).

Per quanto l’obbligo sia venuto meno, comunque, la formazione rimane ad oggi l’unico strumento per fornire ai Responsabili e agli Incaricati la competenza necessaria per rispettare le istruzioni indicate nelle loro nomine. Per questo motivo, l’intervento formativo deve essere progettato attorno all’azienda e settorializzato rispetto al ruolo.

Ma quali novità sulla formazione con il Nuovo Regolamento Europeo Privacy?

formaz_19046174_xxlLa GDPR prescrive all’art. 29 che chiunque tratta dati personali deve essere stato istruito dal Titolare; all’art. 32 si fa riferimento a misure tecniche e organizzative che devono essere testate, verificate e valutate; nella Sezione 4 dedicata al DPO si prescrive che esso deve avere competenze professionali qualificate e deve sorvegliare sulla formazione di tutta l’azienda (training of staff, art.39).

Ciò significa che le aziende devono implementare dei processi formativi che rispondano ai requisiti delle Misure di Sicurezza: testabili, verificabili e valutabili per chiunque gestisca dati personali. In caso di violazione degli articoli 29 e 39 si rientra nelle sanzioni fino a 10 milioni o il 2% del fatturato mondiale annuo.

L’intento è di legare l’effettività del Regolamento alle competenze del personale: non è più possibile considerare la privacy e la protezione dei dati come un mero adempimento documentale e burocratico, perché l’efficacia dei processi aziendali passa dal personale interno formato e culturalmente predisposto. In termini di ROI (Return on Investment) significa investire per migliorare i processi organizzativi, proteggere la reputazione aziendale e ridurre i rischi di sanzioni amministrative.

Tutto questo presuppone una progettazione degli interventi formativi basata sulla dimensione, la struttura e il business aziendale, individuando specifiche esigenze formative per rendere effettiva la compliance al Regolamento Europeo.

Riproduzione riservata ©

ALTRE NEWS

GDPR: best practices, raccomandazioni e aspetti da considerare

Si è svolto a Roma Cybersecurity Summit 2018, l’evento organizzato da TIG con l’obiettivo di fare il punto sulle principali tematiche di cyber security tenendo… Leggi Tutto

In arrivo l’obbligo di iscrizione all’albo dei conservatori accreditati

L’articolo 44-bis del Codice dell’Amministrazione Digitale (CAD) obbliga le imprese che erogano servizi di conservazione dei documenti informatici e di certificazione dei relativi processi anche… Leggi Tutto

Confrontiamo il responsabile privacy con quello della conservazione

Nel corso dell’ultimo decennio, grazie ai processi tecnologici nel campo dell’informatica, adeguatamente supportati da disposizioni legislative ad hoc, si è assistito ad un incremento di… Leggi Tutto

COLIN & PARTNERS

CHI SIAMO


Consulenza legale specializzata sul diritto delle nuove tecnologie

CONOSCIAMOCI
CHI SIAMO

Cultura e innovazione

SPEECH & EVENTI


Le nostre competenze a disposizione della vostra azienda

I prossimi appuntamenti

Siamo felici di dare il nostro contributo in numerosi eventi che trattano di nuove tecnologie e business digitale sotto vari aspetti. Il nostro apporto si ispira ai temi di interesse legale che, sempre più spesso, coinvolgono l’intera organizzazione.

Inoltre, a cadenza mensile, organizziamo il Colin Focus Day, un incontro di approfondimento gratuito sempre molto apprezzato. A Milano, o in videoconferenza, il Colin Focus Day è occasione di confronto e networking su temi legali-informatici e business.

CONTATTACI

OPERIAMO
A LIVELLO
GLOBALE


Tel. +39 0572 78166

Tel. +39 02 87198390

info@consulentelegaleinformatico.it

Compila il form