Obbligo formativo nella normativa Privacy

La formazione secondo il Codice della Privacy

Il D.Lgs. 2003/196, già nella prima versione, è stato un pilastro fondamentale nel riconoscimento dei diritti delle persone fisiche in merito al trattamento dei propri dati. La norma è stata incardinata in un testo che prevedeva precise azioni da compiere e conteneva nei suoi allegati prescrizioni dettagliate. In particolare l'allegato B, focalizzato sulle misure concrete circa la sicurezza delle informazioni trattate, presentava l'obbligo formativo del personale (incaricati del trattamento dei dati personali). Al punto 19.6 vi era infatti l'indicazione, tra le altre informazioni che costituivano il Documento Programmatico sulla Sicurezza (DPS), circa:

"la previsione di interventi formativi degli incaricati del trattamento, per renderli edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal titolare. La formazione è programmata già al momento dell’ingresso in servizio, nonché in occasione di cambiamenti di mansioni, o di introduzione di nuovi significativi strumenti, rilevanti rispetto al trattamento di dati personali;

Il Decreto Legge 9 febbraio 2012 n.5 noto come "Semplifica Italia", con l'art. 45 comma d), ha successivamente abrogato la redazione e l'aggiornamento annuale del Documento Programmatico sulla Sicurezza. Nonostante rimanesse in vigore l'obbligo del titolare di informare adeguatamente responsabili e incaricati dei doveri e responsabilità connessi con le rispettive nomine, ciò ha comportato il crollo dell'intera architettura di protezione dei dati personali e della cultura specifica di cui l'Italia era apripista a livello continentale.

L'approvazione e l'entrata in vigore del GDPR

A coronamento degli sforzi di uniformare e rafforzare le normative nazionali vigenti in materia di privacy, l'Unione Europea è giunta all'emanazione del Regolamento UE 2016/679 che prevedeva un percorso biennale di transizione e la definitiva applicazione anche del sistema sanzionatorio il 25 maggio 2018.
In merito all'obbligo formativo per i soggetti con un ruolo attivo nei trattamenti dei dati personali, questo è stabilito in almeno tre articoli del Regolamento (o GDPR - General Data Protection Regulamentation):

L'articolo 29, relativo al trattamento svolto dai soggetti sotto l'autorità di titolare o responsabile, prevede che ciò con può avvenire se questi non ricevono istruzioni specifiche dal titolare del trattamento.
L'articolo 32, che si occupa di come garantire la sicurezza del trattamento, al punto 4 ribadisce la necessità di fornire precise istruzioni ai soggetti che effettuano il trattamento di dati personali.
L'articolo 39, incardinato nella sezione dedicata al responsabile della protezione dei dati (o DPO - Data Protection Officer), ai primi due punti prevede che ricada su di esso la funzione di informazione circa gli obblighi discendenti dalla normativa sui soggetti attivi nel trattamento nonché di controllo e formazione degli stessi.

La formazione: elemento fondamentale per l'accountability rispetto al GDPR

Un filo conduttore, molto più robusto di quanto si possa immaginare a un'occhiata poco attenta, collega le norme che si sono succedute nel tempo sull'obbligo di formazione del personale coinvolto nel trattamento dei dati personali. La normativa vigente impone in maniera esplicita e a più riprese di fornire una adeguata preparazione ai soggetti attivi nel trattamento, a seconda del preciso ruolo da questi ricoperto.
L'obbligo rimane precisa responsabilità del Titolare del Trattamento, ma anche sul Responsabile della Protezione dei Dati ricade il controllo dell'efficacia della formazione e il suo mantenimento nel corso del tempo.