Attualmente non obbligatoria, ma funzionale per nomine e modello 231, dal Maggio 2018 la formazione sulla Privacy sarà obbligatoria per tutta l’azienda che dovrà quindi prevedere un budget dedicato.
Dal confronto con i referenti aziendali, emerge spesso la domanda:
“La formazione privacy è un obbligo di Legge?”
Sintomo di una confusione spesso alimentata da chi vuol vendere prodotti formativi standardizzati senza chiarire i presupposti di una corretta gestione dei dati.
La risposta si complica, inoltre, considerando che viene posta nel particolare periodo di passaggio dal regime italiano del D. Lgs. 196/2003 al nuovo quadro europeo della General Data Protection Regulation (GDPR), che incide significativamente sull’argomento.
Ripercorrendo i dettami normativi in sintesi, si può affermare che:
- il Codice Privacy prevedeva l’obbligo formativo nella regola n. 19.6 dell’Allegato B, relativo alle misure di sicurezza;
- il Decreto “Semplifica Italia” del 2012 ha soppresso tale regola, lasciando tuttavia invariato l’obbligo del Titolare di rendere edotti Responsabili ed Incaricati dei doveri indicati nelle nomine;
Il punto abrogato nel 2012 indicava la previsione di “interventi formativi degli incaricati del trattamento, per renderli edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal titolare”. Inoltre, la formazione era programmata in momenti precisi rispetto ai ruoli (l’ingresso in servizio, in occasione di cambiamenti di mansioni, di introduzione di nuovi strumenti).
Per quanto l’obbligo sia venuto meno, comunque, la formazione rimane ad oggi l’unico strumento per fornire ai Responsabili e agli Incaricati la competenza necessaria per rispettare le istruzioni indicate nelle loro nomine. Per questo motivo, l’intervento formativo deve essere progettato attorno all’azienda e settorializzato rispetto al ruolo.
Ma quali novità sulla formazione con il Nuovo Regolamento Europeo Privacy?
La GDPR prescrive all’art. 29 che chiunque tratta dati personali deve essere stato istruito dal Titolare; all’art. 32 si fa riferimento a misure tecniche e organizzative che devono essere testate, verificate e valutate; nella Sezione 4 dedicata al DPO si prescrive che esso deve avere competenze professionali qualificate e deve sorvegliare sulla formazione di tutta l’azienda (training of staff, art.39).
Ciò significa che le aziende devono implementare dei processi formativi che rispondano ai requisiti delle Misure di Sicurezza: testabili, verificabili e valutabili per chiunque gestisca dati personali. In caso di violazione degli articoli 29 e 39 si rientra nelle sanzioni fino a 10 milioni o il 2% del fatturato mondiale annuo.
L’intento è di legare l’effettività del Regolamento alle competenze del personale: non è più possibile considerare la privacy e la protezione dei dati come un mero adempimento documentale e burocratico, perché l’efficacia dei processi aziendali passa dal personale interno formato e culturalmente predisposto. In termini di ROI (Return on Investment) significa investire per migliorare i processi organizzativi, proteggere la reputazione aziendale e ridurre i rischi di sanzioni amministrative.
Tutto questo presuppone una progettazione degli interventi formativi basata sulla dimensione, la struttura e il business aziendale, individuando specifiche esigenze formative per rendere effettiva la compliance al Regolamento Europeo.
L'articolo Formazione obbligatoria Privacy: facciamo chiarezza sembra essere il primo su Colin.