• Home
  • News
  • L’Obbligo di Formazione Incaricati: cosa prevede l'Art. 29 del GDPR

L’Obbligo di Formazione Incaricati: cosa prevede l'Art. 29 del GDPR

L’Obbligo di Formazione Incaricati: cosa prevede l'Art. 29 del GDPR

Durante il procedimento di Compliance al GDPR è da notare l’obbligo di formazione degli incaricati in forza all’azienda (eliminato dal vecchio codice privacy e reintrodotto con la 679/2016): soprattutto non si devono sottovalutare le sanzioni correlate ad eventuale inadempienza. Infatti, in caso di controlli che riscontrassero l'assenza di un adeguato piano formativo, ai sensi dell'art. 83 del Regolamento privacy europeo può scattare la sanzione amministrativa pecuniaria fino a 10 milioni di euro o, per le imprese, fino a 2 % del fatturato mondiale annuo dell’anno precedente.

La norma centrale rispetto al trattamento dei dati personali è l’art.29 in cui vien specificato:
"il responsabile del trattamento (data processor), o chiunque agisca sotto la sua autorità o sotto quella del titolare (data controller), che abbia accesso ai dati personali non può trattare tali dati se non è istruito in tal senso dal titolare".

Anche l’art.32 del Regolamento "Sicurezza del trattamento" è molto importante sul tema, sopratutto per la specifica del paragrafo 4 secondo cui: "il titolare del trattamento ed il responsabile del trattamento fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri".

Cosa fare per adeguarsi a tale obblighi:

  • 1.Prevedere un programma di formazione specifico collettivo per tutti gli incaricati (attivi ai fini privacy) che lavorano in azienda, sensibilizzandoli al data security, soprattutto quello inerente il trattamento dei dati personali, anche attraverso i sistemi informatici (Email, documenti word e excel etc.) e quelli analogici aziendali.
  • 2.Il corso può prevedere la documentazione di tutto il percorso con la possibilità di verifica finale.
  • 3.Trasmettere all’azienda tutto il materiale formativo e gli attestati.

La formazione interna

Da notare che l’articolo 39 del GDPR pone tra le competenze del DPO anche la possibilità di formare il personale qualora l’azienda lo richieda. Nel caso l’azienda decida di usare un "Formatore Interno" dovrà garantire che il soggetto preposto sia competente riguardo la materia in oggetto, dimostrando capacità giuridiche e informatiche. I corsi formativi dovranno avere alcune caratteristiche previste dal GDPR:

  • Se l’azienda ricevente il corso è pubblica o privata;
  • Il modo di esecuzione del percorso formativo, se in loco o telematico;
  • Dare priorità alla formazione degli incaricati che hanno un accesso al dato privilegiato e posizioni di responsabilità all’interno dell’azienda.

Sanzioni

L'impianto sanzionatorio del Regolamento Europeo prevede delle sanzioni pecuniarie e delle sanzioni correttive, che vengono erogate dal Garante.

Le sanzioni correttive consistono nel:

  • rivolgere avvertimenti al titolare o al responsabile del trattamento sul fatto che i trattamenti previsti possono violare le norme;
  • rivolgere ammonimenti al titolare o al responsabile del trattamento ove i trattamenti abbiano violato le norme;
  • ingiungere al titolare o al responsabile del trattamento di soddisfare le richieste dell’interessato di esercitare i relativi diritti;
  • ingiungere al titolare o al responsabile del trattamento di conformare i trattamenti alle norme, specificando eventualmente le modalità e i termini per la conformità;
  • imporre una limitazione provvisoria o definitiva al trattamento, sospendere temporaneamente il trattamento, o vietare del tutto;
  • ordinare la rettifica, la cancellazione o l'aggiornamento dei dati personali;
  • revocare le certificazioni o ingiungere all’organismo di certificazione di ritirare le certificazioni rilasciate se i requisiti non sono soddisfatti;
  • infliggere le sanzioni amministrative pecuniarie;
  • ordinare la sospensione dei flussi di dati verso un destinatario.

Le sanzioni pecuniarie si dividono in due gruppi:

  • un primo gruppo di sanzioni che possono arrivare fino a 10 milioni di euro oppure al 2% del fatturato mondiale annuo[...], e riguardano:
    1. inosservanza degli obblighi del titolare e del responsabile del trattamento a norma degli articoli 8 (consenso dei minori), 11 (trattamento che non richiede identificazione), da 25 a 39 (privacy by default, contitolari del trattamento, rappresentanti non stabiliti nell'Unione, responsabili del trattamento, registro dei trattamenti, sicurezza, notifica delle violazioni, valutazione di impatto, DPO), 42 e 43;
    2. inosservanza degli obblighi dell’organismo di certificazione a norma degli articoli 42 e 43;
    3. inosservanza degli obblighi dell’organismo di controllo a norma dell’articolo 41, paragrafo 4.
  • un secondo gruppo di violazioni (art. 83, par. 5, GDPR), per il quale sono previste sanzioni fino 20 milioni di euro o fino al 4 % del fatturato mondiale annuo[...], e riguardano:
    1. inosservanza dei principi di base del trattamento, comprese le condizioni relative al consenso, a norma degli articoli 5, 6, 7 e 9;
    2. inosservanza dei diritti degli interessati a norma degli articoli da 12 a 22;
    3. inosservanza dei trasferimenti di dati personali a un destinatario in un paese terzo o un’organizzazione internazionale a norma degli articoli da 44 a 49;
    4. inosservanza di qualsiasi obbligo ai sensi delle legislazioni degli Stati membri adottate a norma del capo IX;
    5. inosservanza di un ordine, di una limitazione provvisoria o definitiva di trattamento o di un ordine di sospensione dei flussi di dati dell’autorità di controllo ai sensi dell’articolo 58, paragrafo 2, o il negato accesso in violazione dell’articolo 58, paragrafo 1;
    6. l'inosservanza delle prescrizioni di cui alle autorizzazioni generale del Garante per la privacy di cui all'art. 21 D. Lgs 101/2018 (adeguamento Codice Privacy) o di cui al provvedimento di cui all'art. 21, comma 1, del D. Lgs. 101/2018 (prescrizioni in materia di dati a trattamento speciale).

Le sanzioni penali sono previste dai singoli Stati membri, non direttamente dal Regolamento.

I reati previsti dal nostro codice penale:

  • il trattamento illecito dei dati;
  • la comunicazione e la diffusione illecita di dati personali oggetto di trattamento su larga scala;
  • l'acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala;
  • la falsità nelle dichiarazioni al garante;
  • l'interruzione dell'esecuzione di compiti e poteri del garante;
  • l'inosservanza dei provvedimenti del garante.

I controlli degli enti preposti

Le verifiche vengono effettuate durante i sopralluoghi da parte dell’Autorithy e della Guardia di Finanza, che hanno rinnovato e ufficializzato la propria collaborazione congiunta dal 2016. Gli organi ispettivi andrebbero a svolgere fondamentalmente 2 tipi di attività:

  • Analizzare se le attività degli incaricati è uniforme con le Privacy policy e se vengono rispettati i livelli di autorizzazione.
  • Acquisire l’oggetto dei corsi (Slide, presentazioni Powerpoint, pdf etc.) per analizzarne l’uniformità con le disposizioni di legge.

In conclusione il piano formativo costituisce, insieme ad altri elementi, uno dei tasselli fondamentali per la compliance al nuovo Regolamento Ue sulla privacy, secondo il principio di accountability (o responsabilizzazione), inteso come la capacità del titolare di dimostrare di aver adottato tutte le misure adeguate per la protezione dei dati personali trattati oltre che tutti i sistemi organizzativi interni necessari, compresa la sensibilizzazione del personale.

In conclusione, la formazione non deve essere considerata come un adempimento burocratico ma va intesa alla stregua di un’opportunità per rendere consapevoli tutti gli operatori all’interno dell’organizzazione dei possibili rischi connessi al trattamento dei dati al fine di evitare anche i rischi di sanzioni amministrative.

AB Z Soluzioni Informatiche

AB Z Soluzioni Informatiche s.r.l.

Viale Promessi Sposi 76
23868 – Valmadrera (LC)
P.IVA: 02079000135

Contatti

TEL: 0341 200665
FAX: 0341 200669
E-MAIL: Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.
PEC: Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.