Il trattamento dei dati personali all’interno delle organizzazioni deve avvenire nel rispetto del Regolamento (UE) 2016/679 (GDPR) e della normativa nazionale in materia di protezione dei dati personali. Il GDPR stabilisce che i dati personali possano essere trattati esclusivamente da personale autorizzato e adeguatamente istruito dal Titolare del trattamento.

‍

La formazione del personale non è quindi una semplice buona prassi, ma una vera e propria misura organizzativa prevista dal GDPR.

In particolare, gli artt. 29 e 32 del GDPR stabiliscono che chiunque operi sotto l’autorità del Titolare o del Responsabile del trattamento e abbia accesso a dati personali può trattarli solo se autorizzato e istruito, nell’ambito delle procedure definite dall’organizzazione.

Tra le misure necessarie per garantire la sicurezza dei dati rientra quindi anche la formazione del personale che tratta dati personali, affinché conosca le corrette modalità di trattamento e i rischi connessi.

Questo principio è stato ribadito anche da numerosi provvedimenti del Garante per la protezione dei dati personali, dai quali emerge che la mancata istruzione del personale può configurare una violazione delle misure organizzative previste dal GDPR.

Anche la Cassazione civile ha più volte chiarito che la responsabilità del titolare deve essere valutata sulla base dell’effettività delle misure organizzative adottate, tra cui rientra la formazione dei dipendenti.

‍

In pratica, tutti i lavoratori che trattano dati personali (dei clienti, altri dipendenti, fornitori o utenti) devono essere:

‍

- Formalmente autorizzati al trattamento;

- Istruiti sulle modalità corrette di utilizzo dei dati;

- Formati sui rischi e sulle regole privacy.

Durante le ispezioni del Garante Privacy – spesso svolte con il supporto del Nucleo Speciale Tutela Privacy e Frodi Tecnologiche della Guardia di Finanza – viene verificata la concreta organizzazione interna del trattamento dei dati.

‍

Tra i documenti richiesti figurano normalmente:

‍

- Registro dei trattamenti;

- Informative designazioni degli autorizzati;

- Policy ed istruzioni operative;

- Documentazione della formazione privacy del personale.

‍

La mancanza di queste misure può integrare la violazione degli artt. 5, 24, 29 e 32 del GDPR e comportare sanzioni amministrative fino a 20 milioni di euro o al 4% del fatturato annuo globale.

Per questo motivo la formazione privacy dei dipendenti rappresenta uno degli strumenti principali per dimostrare la conformità al GDPR e ridurre il rischio di sanzioni.

‍

‍

‍