Un anno di GDPR in Italia: l’importanza della formazione come vantaggio competitivo
Cosa cambia?
L’introduzione del Regolamento europeo sulla protezione dati personali n. 679/2016/UE (“GDPR”) ha portato all’abrogazione della Direttiva 95/46/CE, che per più di venti anni ha rappresentato la pietra angolare della normativa europea in materia di protezione dei dati personali. Con il GDPR, in particolare, la protezione dei dati personali si è affermata quale presupposto necessario e indefettibile da osservare nell’ambito di tutte le operazioni di trattamento dati, effettuate:
- non solo da operatori privati,
- ma anche per quelle compiute dalla Pubblica Amministrazione nell’esercizio della propria attività.
Dal punto di vista operativo, inoltre, ciò si è tradotto nella necessità di adeguare l’impianto organizzativo italiano al nuovo approccio adottato dal legislatore dell’Unione, basato sul rispetto del principio dell’accountability e della privacy by design e by default.
L’avvento del GDPR segna così l’inizio di un vero e proprio percorso di conformità del trattamento dati per gli operatori pubblici e privati, orientato alla protezione dei dati per garantire i diritti dell’interessato.
Tale percorso non si esaurisce nella predisposizione di adeguate misure tecniche ed organizzative, ma richiede altresì un percorso di formazione adeguato per evitare provvedimenti sanzionatori da parte dell’Autorità di controllo.
Il GDPR presta molta attenzione agli obblighi formativi. Essi sono previsti, in particolare, dall’articolo 39, paragrafo 1, lett. b), il quale attribuisce, tra i compiti del Data Protection Officer, quello di “sorvegliare l’osservanza […] delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi […] la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo”. A tal fine il DPO può concordare con il Titolare e il Responsabile del Trattamento un piano per la formazione in materia di privacy, che preveda corsi periodici per personale e, più in generale, per tutti i collaboratori.
Perché optare per una corretta formazione?
A distanza di almeno un anno dalla piena entrata in vigore del GDPR, tuttavia, i risultati conseguiti in Italia non risultano soddisfacenti:
- secondo l’Eurobarometro diffuso dalla Commissione europea, i cittadini italiani figurano al penultimo posto per conoscenza dell’esistenza di una normativa in materia di protezione dati;
- già a Settembre 2018, a distanza di soli 4 mesi dall’entrata in vigore del nuovo regolamento,le segnalazioni e i reclami pervenuti al Garante Privacy sono stati 2.547, a fronte dei 1.795 pervenuti nello stesso periodo dello scorso anno, mentre le segnalazioni di Data breach sono state 305;
- oltre 89.000 notifiche di violazione dei dati sono state segnalate da maggio 2018, provenienti da organizzazioni sia pubbliche che private.
Una corretta formazione si propone, dunque, come condizione imprescindibile. Il GDPR, tuttavia, non specifica le modalità e contenuti, richiedendo soltanto che la stessa risulti efficace.
Cosa fare?
Si suggeriscono, in relazione alle differenti esigenze formative, alcuni percorsi caratterizzanti:
- Formazione breve: consente ai partecipanti di ottenere un’adeguata formazione in materia di gestione dei dati personali. Tale percorso risulta particolarmente rilevante per il settore pubblico, ove l’obbligo di formazione per le Pubbliche Amministrazioni le imprese in materia di protezione dei dati personaliper tutte le figure presenti nell’organizzazione (sia dipendenti che collaboratori).
- Formazione avanzata: fornisce ai partecipanti, che hanno già acquisito le conoscenze di base di natura giuridica e organizzativa, le nozioni pratico-applicative di base per lo svolgimento effettivo delle attività. Tale percorso è particolarmente utile per le attività che competono al Responsabile per la protezione dei dati personali (Data Protection Officer o DPO), proponendosi come approfondimento – in chiave tecnica – delle conoscenze di base già acquisite in precedenza.