Formazione obbligatoria Privacy: facciamo chiarezza

22/12/2016
di Silvia Calissi

Attualmente non obbligatoria, ma funzionale per nomine e modello 231, dal Maggio 2018 la formazione sulla Privacy sarà obbligatoria per tutta l’azienda che dovrà quindi prevedere un budget dedicato.

ico_23478417_xlDal confronto con i referenti aziendali, emerge spesso la domanda:

La formazione privacy è un obbligo di Legge?

Sintomo di una confusione spesso alimentata da chi vuol vendere prodotti formativi standardizzati senza chiarire i presupposti di una corretta gestione dei dati.

La risposta si complica, inoltre, considerando che viene posta nel particolare periodo di passaggio dal regime italiano del D. Lgs. 196/2003 al nuovo quadro europeo della General Data Protection Regulation (GDPR), che incide significativamente sull’argomento.

Ripercorrendo i dettami normativi in sintesi, si può affermare che:

  • il Codice Privacy prevedeva l’obbligo formativo nella regola n. 19.6 dell’Allegato B, relativo alle misure di sicurezza;
  • il Decreto “Semplifica Italia” del 2012 ha soppresso tale regola, lasciando tuttavia invariato l’obbligo del Titolare di rendere edotti Responsabili ed Incaricati dei doveri indicati nelle nomine;

Il punto abrogato nel 2012 indicava la previsione di “interventi formativi degli incaricati del trattamento, per renderli edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal titolare”. Inoltre, la formazione era programmata in momenti precisi rispetto ai ruoli (l’ingresso in servizio, in occasione di cambiamenti di mansioni, di introduzione di nuovi strumenti).

Per quanto l’obbligo sia venuto meno, comunque, la formazione rimane ad oggi l’unico strumento per fornire ai Responsabili e agli Incaricati la competenza necessaria per rispettare le istruzioni indicate nelle loro nomine. Per questo motivo, l’intervento formativo deve essere progettato attorno all’azienda e settorializzato rispetto al ruolo.

Ma quali novità sulla formazione con il Nuovo Regolamento Europeo Privacy?

formaz_19046174_xxlLa GDPR prescrive all’art. 29 che chiunque tratta dati personali deve essere stato istruito dal Titolare; all’art. 32 si fa riferimento a misure tecniche e organizzative che devono essere testate, verificate e valutate; nella Sezione 4 dedicata al DPO si prescrive che esso deve avere competenze professionali qualificate e deve sorvegliare sulla formazione di tutta l’azienda (training of staff, art.39).

Ciò significa che le aziende devono implementare dei processi formativi che rispondano ai requisiti delle Misure di Sicurezza: testabili, verificabili e valutabili per chiunque gestisca dati personali. In caso di violazione degli articoli 29 e 39 si rientra nelle sanzioni fino a 10 milioni o il 2% del fatturato mondiale annuo.

L’intento è di legare l’effettività del Regolamento alle competenze del personale: non è più possibile considerare la privacy e la protezione dei dati come un mero adempimento documentale e burocratico, perché l’efficacia dei processi aziendali passa dal personale interno formato e culturalmente predisposto. In termini di ROI (Return on Investment) significa investire per migliorare i processi organizzativi, proteggere la reputazione aziendale e ridurre i rischi di sanzioni amministrative.

Tutto questo presuppone una progettazione degli interventi formativi basata sulla dimensione, la struttura e il business aziendale, individuando specifiche esigenze formative per rendere effettiva la compliance al Regolamento Europeo.

Riproduzione riservata ©

ALTRE NEWS

Privacy sospesa? Vergognosi titoli da parte dei mass media

#Coronavirus #privacy. A seguito della comunicazione veicolata oggi da alcuni mass media rispetto ad una possibile sospensione della normativa privacy, l’Avv. Valentina Frediani interviene commentando… Leggi Tutto

Protocollo di legalità: DI & P presente nel registro delle imprese “virtuose”

Il nominativo dell´impresa DI & P Srl è stato pubblicato nell´elenco delle imprese aderenti al Protocollo di Legalità. Il Protocollo, frutto di un’intensa collaborazione tra… Leggi Tutto

Reati informatici e Governance: quale filo conduttore?

Nelle aziende aumenta la consapevolezza del ruolo strategico dei processi informatizzati. La progressiva presa di coscienza sulle implicazioni informatico – giuridiche connesse all’applicazione del modello… Leggi Tutto

COLIN & PARTNERS

CHI SIAMO


Consulenza legale specializzata sul diritto delle nuove tecnologie

CONOSCIAMOCI
CHI SIAMO

Cultura e innovazione

SPEECH & EVENTI


Le nostre competenze a disposizione della vostra azienda

I prossimi appuntamenti

Colin Focus Day – GDPR e Compliance Software: la metodologia certificata di Colin & Partners

Appuntamento a Milano il 5 febbraio dalle ore 14.00.

Affronteremo i 5 temi chiave della Compliance di cui tiene ampiamente conto la metodologia certificata e lo schema di analisi di Colin & Partners.

CONTATTACI

OPERIAMO
A LIVELLO
GLOBALE


Tel. +39 0572 78166

Tel. +39 02 87198390

info@consulentelegaleinformatico.it

Compila il form






    Utilizzando questo modulo accetti la memorizzazione e la gestione dei tuoi dati da questo sito web.