Con l’entrata in vigore del nuovo Regolamento UE 2016/679 sulla Privacy, comunemente denominato GDPR (General Data Protection Regulation), la formazione assume un ruolo fondamentale, sia nel comparto pubblico che in quello privato. Ce lo ricorda Giovanni De Pierro, imprenditore e blogger di origini romane molto attivo nelle consulenze in materia di sicurezza e lavoro in azienda. Il Regolamento, scrive Giovanni De Pierro, fa riferimento alla protezione delle persone fisiche con speciale attenzione al trattamento e alla libera circolazione dei dati personali dai territori appartenenti all’Unione Europea verso le altre parti del mondo. L’attuazione del Regolamento risale al 24 maggio 2016, anche se è divenuto applicabile in tutti gli Stati Membri a partire dal 25 maggio 2018. Pertanto, al fine di assicurare la corretta ed adeguata applicazione del regolamento è stata prevista la particolare figura del “Responsabile della Protezione Dati” (Data Protection Officer o DPO).
Qual è il compito del responsabile RPD?
Quest’ultimo ha il particolare compito di assicurare il corretto coordinamento dei dati personali nelle imprese e negli enti. Nominato dal titolare o dal responsabile del trattamento, il DPO dovrà conoscere in modo approfondito la normativa, la modalità di gestione dei dati sensibili, dovrà eseguire i propri doveri in totale autonomia ed indipendenza, senza conflitti di interesse. Pertanto, al fine di affrontare al meglio la sfida di un mondo sempre più “digital” e adempiere agli obblighi dell’Unione Europea, si fa sempre più stringente ed attuale la necessità di prevedere ed organizzare Corsi di Formazione in Responsabile della Protezione dei Dati. Tuttavia, oltre alla particolare figura del DPO, anche altri professionisti che orbitano nel settore dovranno sottoporsi alla formazione continua e permanente. E, a tal proposito, si fa riferimento anche ai direttori delle Risorse Umane, dirigenti, sviluppatori del comparto informatico e direttori del commerciale. Tuttavia, è opportuno effettuare una particolare distinzione. Mentre negli enti pubblici la formazione diventa obbligatoria per il DPO e tutta la sua équipe, nelle aziende private è buona norma coinvolgere ed istruire l’intero organigramma. Inoltre, nel pianificare un corso di formazione in Responsabile della Protezione dei Dati sarà necessario chiarire: la struttura dell’ente o, comunque, la ragione sociale dell’impresa, il pubblico che usufruirà della formazione, gli obiettivi stabiliti, la modalità di somministrazione delle lezioni (online o in aula), senza dimenticare i precedenti corsi eventualmente svolti, al fine di evitare noiose ripetizioni.
Si possono fare Corsi di formazione in RPD?
Per un Corso di formazione in Responsabile della Protezione dei Dati saranno arruolati docenti laureati in Ingegneria, Informatica e Giurisprudenza; infatti, la particolare materia di competenza del GDPR prevede la confluenza di discipline e tematiche diverse, ma tra loro complementari, che necessitano del supporto di figure specializzate nei differenti settori di riferimento. Le tematiche da affrontare e approfondire saranno le seguenti: Fondamenti generali del D. Lgs. 196/03 (Definizione, ambiti di applicazione, tipologie di dati); Fondamenti generali del Regolamento Privacy UE 2016/679 – GDPR ed in modo particolare: Principio di liceità, consenso e condizioni per il consenso, principio di correttezza, di trasparenza; Ruoli e responsabilità e nello specifico: Organigramma Privacy in Azienda, i diritti dell’interessato e le competenze organizzative e strutturali per favorirne il rispetto, diritto all’aggiornamento dei dati e diritto alla cancellazione (conosciuto anche come diritto all’oblio); Diritto di limitazione del trattamento, i quali, ci ricorda anche il blogger Alessio Del Vecchio, fanno particolare riferimento a tematiche quali: l’interessato, il titolare ed il responsabile del trattamento, diritto alla portabilità dei dati, diritto di opposizione, responsabilità del titolare di trattamento e relativa designazione; Funzioni e ruoli del Data Protection Officer – DPO con approfondimento delle seguenti tematiche: l’erede del DPS (Documento Programmatico sulla Sicurezza), Registro delle Attività di Trattamento, i rischi e le misure di sicurezza per il trattamento cartaceo e informatico, l’accesso sicuro ai dati, l’analisi dei rischi connessi alla privacy, il trasferimento dei dati all’estero, le sanzioni amministrative e penali; Data Breach e Data Breach Notification; Sistema Sanzionatorio e rapporto con l’Authority; I sistemi di Archiviazione dei dati; Privacy by design e privacy by default; Gli obblighi periodici; La comunicazione delle violazioni dei dati personali.
Stilato e definito il programma del Corso di formazione in Responsabile della Protezione dei Dati, bisognerà selezionare le risorse da sottoporre all’addestramento, pianificare il budget necessario per portare avanti l’esperienza formativa, stabilire esami, prove finali e integrazioni per l’aggiornamento, pianificare soluzioni alternative per i partecipanti che, eventualmente, potrebbero non superare l’esame finale.
Garante della Privacy e Guardia di Finanza
Inoltre, l’obbligo alla formazione è controllato in maniera rigorosa dal Garante della Privacy e dalla Guardia di Finanza. Giovanni De Pierro ci ricorda che entrambi potrebbero avanzare richiesta di accertamento in relazione ai seguenti ambiti: programma didattico e piano di formazione; materiali usati e prove finali; lista con i nomi di chi assume la funzione del trattamento; i livelli di autorizzazione e di policy di cui gode l’azienda. È importante sapere che il Garante potrebbe dare avviso del controllo a mezzo posta elettronica e, in tal caso, la comunicazione verrebbe effettuata il giorno prima. Tuttavia, il controllo potrebbe essere effettuato anche senza preavviso. Qualora la società non presti la propria collaborazione, gli accertamenti si porterebbero avanti ugualmente, ma ogni spesa graverebbe sul titolare. Dunque, formarsi e intraprendere un corso in Responsabile della Protezione dei Dati appare, oggi più che mai, indispensabile. Anzi, per essere più precisi, un’esperienza formativa nel settore rappresenta, contemporaneamente, una sicurezza per l’azienda ed un dovere imprescindibile per le risorse umane. Tuttavia, la situazione attuale delle società racconta un’altra storia. Nonostante siano trascorsi quasi due anni dall’entrata in vigore del Regolamento, alcune recenti indagini mostrano come molte aziende italiane palesino ancora un insufficiente grado di preparazione nel settore, rischiando così pesanti sanzioni. Infatti, secondo quanto previsto dall’articolo 83 del Regolamento Europeo sulla Privacy, le aziende che non ottemperano ai loro obblighi di formazione nel settore possono incorrere in un’ammenda amministrativa fino a 10 milioni di euro oppure fino al 2% del fatturato mondiale annuo registrato nell’anno precedente.
