Il General Data Protection Regulation in materia di trattamento dei dati personali sancisce l’obbligo della formazione per tutti i lavoratori e collaboratori di Imprese e Pubbliche Amministrazioni che trattano dati personali di persone fisiche.
Nonostante il GDPR non preveda espressamente la figura dell’incaricato del trattamento come per il precedente Codice Privacy, non ne esclude la presenza in quanto fa riferimento alle persone autorizzate al trattamento dei dati personali sotto l'autorità diretta del titolare o del responsabile.
Ogni organizzazione ha, quindi, il compito di stabilire non solo i limiti entro i quali dipendenti e collaboratori hanno diritto di accedere ai dati personali sulla base delle mansioni loro assegnate ma anche il dovere di garantire all’intero personale una formazione costante e aggiornata.
È fondamentale impartire alle persone autorizzate le nozioni circa il corretto utilizzo dei dati personali per evitare la divulgazione illecita o l'utilizzo erroneo degli stessi in relazione alle finalità consentite. Un obbligo da non sottovalutare!
In caso di mancata erogazione della formazione si applica, ai sensi dell’art. 83 paragrafo 4 del Regolamento 2016/679, la sanzione amministrativa pecuniaria fino a 10 milioni di euro o, per le imprese, fino a 2 % del fatturato mondiale annuo dell’anno precedente se superiore.
Il Garante ha raccomandato, infatti, di istituire un piano di formazione e di predisporre, per eventuali verifiche ispettive, la documentazione che rappresenti l’evidenza della formazione erogata, come ad esempio dispense e risultati dei test di apprendimento.
Altrettanto importante sarà poter riscontrare l’utilizzo di idonee istruzioni operative in funzione dei profili assegnati alle persone autorizzate ed ai relativi livelli di autorizzazione.