Ultimamente abbiamo avuto una serie di richieste da parte dei clienti circa la questione GDPR e formazione del personale. Cosa dice il Reg. UE 2016/679 GDPR?
Il regolamento impone l’obbligo di istruire il personale addetto al trattamento dei dati personali all’articolo 29 che testualmente recita:
Art. 29 – Trattamento sotto l’autorità del titolare del trattamento o del responsabile del trattamento
Il responsabile del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del titolare del trattamento, che abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri.
Il testo normativo è pertanto fin troppo chiaro. L’azienda deve provvedere a formare il personale che ha compiti di trattamento dei dati personali.
Ricordate che per trattamento si intende qualunque tipo di elaborazione, ovvero dalla raccolta alla visualizzazione del dato, passando anche per la tenuta dei dati in archivi altresì su servizi Cloud.
La formazione deve essere certificata?
Questo pare essere il punto equivoco. Equivoco per gli utenti ma non per il regolamento.
In sostanza, il regolamento dice che devo istruire il personale ma non impone che questa istruzione sia operata da specifici enti o soggetti autorizzati a rilasciare attestati validi in base ad una specifica norma.
Un esempio calzante.
Se devo formare il rappresentante dei lavoratori per la sicurezza (ex D. Lgs. 81/2008) devo inviarlo a frequentare un corso presso un’organizzazione autorizzata a ciò dalla Conferenza Stato Regioni. Non posso formarlo io in qualità di datore di lavoro e nemmeno uno dei miei dipendenti. Questo corso deve avere infatti valore legale perché esiste una norma che lo istituisce.
Tale obbligo formativo scaturisce dal D. Lgs. 81/08 e dal D. Lgs. 106/09, i quali prevedono che ogni attività lavorativa dove sono presenti lavoratori, debba avere un rappresentante dei lavoratori per la sicurezza che deve essere formato da apposito corso pena un’ammenda da circa 2 mila a 7 mila Euro. L’Accordo Stato Regioni del 7 Luglio 2016 definisce poi le modalità .
Un tale obbligo di frequentare corsi con valore legale, che devono essere certificati da determinati enti autorizzati, non esiste – almeno non esiste ancora – per il GDPR. Chi dice il contrario sta mentendo, almeno fino ad oggi. Se in futuro esisterà una norma che lo impone, ci si adeguerà di conseguenza.
Il DPO e la formazione per il GDPR.
Chiaramente, nelle imprese dove è obbligatorio designare un DPO — ex art. 37 del Reg. UE 2016/679 GDPR — è bene che questi sia anzitutto ben consapevole dei propri compiti e abbia una idonea istruzione che gli permetta di svolgere al meglio il suo incarico. Nelle imprese dove non vi è obbligo di designare il DPO, è sempre bene nominare una figura interna quale coordinatore del progetto di conformità GDPR. Nelle imprese più piccole questo ruolo è solitamente ricoperto dal titolare.
Come normale che sia, il titolare dell’impresa è sempre responsabile per l’adeguamento di qualsiasi requisito legale, incluso chiaramente il GDPR.
Pertanto, l’azienda, a sue spese, deve provvedere non solo alla realizzazione di un idoneo sistema di conformità GDPR ma anche alla formazione del personale.
La figura centrale è quindi il DPO, dove è obbligatorio designarlo, o il coordinatore interno quando non si è obbligati a designare il DPO. Questa figura, DPO o coordinatore del progetto, deve quindi essere il primo a ricevere la giusta istruzione.
Come avviene la formazione?
La formazione del personale può avvenire per mezzo di incontri e colloqui, anche a distanza, con consulenti esperti, o per mezzo di materiale informativo e formativo anche su supporti digitali. Il DPO, o coordinatore interno, possono a loro volta aver conseguito una buona conoscenza della materia attraverso lo studio personale dei testi normativi (Reg. UE 2016/679, Linee Guida del Gruppo di Lavoro WP29 etc.) e l’approfondimento mediante altro materiale idoneo.
Se il titolare ritiene che tale conoscenza sia adeguata ai bisogni dell’azienda, in base ai rischi per i soggetti interessati derivanti dal trattamento dei dati personali e in relazione alle misure di sicurezza messe in atto, e soprattutto se ricava tale garanzia da almeno un audit interno che compie sulle strutture e le modalità di trattamento dei dati, allora può procedere e consentire al DPO o coordinatore interno di istruire il resto del personale addetto all’elaborazione dei dati.
Da nessuna parte è scritto infatti che un esterno deve impartire lezioni di GDPR al personale. Certo, molte aziende demandano questa attività a figure esterne, ma tante altre risolvono la questione internamente.
Ad ogni modo, sia che il DPO — o coordinatore interno — riceva formazione da un consulente esperto o mediante studio personale, sarà poi questi, di norma, ad istruire i colleghi di lavoro.
Dare prova della formazione.
Comunque sia stata effettuata la formazione, ovvero che origini da materiale informativo fornito da imprese esterne specializzate, da colloqui con consulenti esperti, o da applicazione personale da parte del DPO o coordinatore del progetto, è bene che, una volta istruito il personale sui propri compiti e doveri, il datore di lavoro si tuteli con una dichiarazione da parte degli addetti.
Sarà necessario che il titolare faccia firmare ai dipendenti, incluso DPO o coordinatore interno, una dichiarazione di impegno alla riservatezza e alla non divulgazione dei dati personali di cui si viene a conoscenza durante l’attività lavorativa, la quale dichiarazione includa anche l’attestazione di ricevuta istruzione da parte del personale.
Il personale non istruito non potrebbe infatti operare e ciò sarebbe un rischio elevato anche per l’impresa perché le possibilità di incidenti o violazioni aumenterebbero.
Cosa è consigliabile fare?
Anzitutto, fare un corso sul GDPR, atteso che sia operato da persone competenti, non è certo una cattiva idea. Tuttavia, nessuno può dire che è autorizzato a rilasciare attestati o certificati di addestramento al GDPR con valore legale perché non esiste al momento nessuna legge in tal senso.
Solitamente, a meno che l’azienda non abbia risorse interne che consentano di realizzare il proprio sistema di conformità inclusa la formazione, i consulenti che sviluppano il sistema GDPR aziendale forniscono anche una serie di materiali e documenti formativi. Inoltre, istruiscono il personale addetto, o chi è incaricato di sovraintendere ai processi GDPR, con una serie di incontri o colloqui anche a distanza. Come già detto, sarà poi questi — DPO o coordinatore interno — a formare il resto del personale.
Personalmente noi abbiamo sempre operato in questo modo. Inoltre, quando sviluppiamo un sistema di conformità GDPR, forniamo una serie di documenti che hanno lo scopo di istruire il personale su cosa e come fare. Tale documentazione è in possesso del titolare e del coordinatore del progetto, ai quali consigliamo sempre non solo di leggerla molto bene ma anche di trasferirne la conoscenza al personale in base ai ruoli e responsabilità .
Dedicato ai nostri Clienti
Tuttavia, per dare ai nostri clienti uno strumento ancora più preciso, a parte la documentazione personalizzata che già possiedono, abbiamo messo a disposizione nella nostra Intranet un manuale istruttivo da utilizzarsi per la formazione del personale.
Vi invitiamo quindi ad accedere all’Area Riservata e scaricare dalla sezione Servizi GDPR il documento “GDPR-FORMAZIONE DEL PERSONALE”, lo trovate all’interno della cartella moduli.
Tale risorsa è ad uso esclusivo dei nostri clienti e ne è vietata la divulgazione, mediante qualunque mezzo, al di fuori del contesto aziendale.
Infine, come sanno bene i nostri clienti — vedi anche sopra — nel modulo della dichiarazione di impegno da parte del personale, presente nell’area riservata e aggiornato —”5 GDPR-MODULO RISERVATEZZA STAFF”— sono state inserite delle precisazioni che alcuni di voi ci hanno richiesto proprio in merito alla formazione. Già i moduli precedentemente realizzati chiarivano in modo evidente il requisito dell’istruzione, tuttavia nella versione aggiornata ne abbiamo dato ancora più risalto.
Per richiedere il servizio e quindi l’accesso alla nostra Intranet contattateci.
Per chi non lo avesse ancora fatto vi invitiamo a iscrivervi al blog per ricevere notifiche di nuove pubblicazioni via email.
Potete cancellare l’iscrizione in ogni momento. Leggete la nostra Privacy