Un primo elemento in ordine alla previsione normativa della necessità di svolgere la formazione in ambito privacy, lo fornisce il Gruppo di lavoro ex 29, nel parere n. 3/2010, che aveva individuato tra le misure comuni concernenti la responsabilità "un'adeguata formazione ed istruzione del personale in materia di protezione dei dati.
Il personale in questione dovrebbe includere gli incaricati (o responsabili) del trattamento dei dati personali".
Gli obblighi formativi si trovano poi introdotti dall'art. 39.1.b del Regolamento, il quale prevede, tra i compiti del D.P.O. quello di " sorvegliare l'osservanza […] delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi […] la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo". La centralità della formazione è di seguito confermata dall'art. 32 "Sicurezza del trattamento" paragrafo 4, che prevede che "il titolare del trattamento ed il responsabile del trattamento fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell'Unione o degli Stati membri".
Stanti queste disposizioni, la formazione deve intendersi, quindi, come un prerequisito per potere operare all'interno di qualunque organizzazione, pubblica o privata, compresa quella di natura condominiale, che sia relativa alla gestione dei dati del condomino o del dipendente/collaboratore ma anche fornitore dello Studio professionale.
I condòmini possono chiedere all'amministratore l'attestato di formazione periodica?
La formazione dovrebbe, alla luce dell'impianto del Regolamento, presentare un taglio interdisciplinare (con sessioni informatiche, giuridiche, e sui profili organizzativi) e pragmatico (come si evince dal termine "istruito" previsto all'art 29 e 32 del Regolamento) e riguardare tutti i soggetti che partecipano alle operazioni di trattamento.
L'obiettivo deve essere finalizzato ad illustrare i rischi generali e specifici dei trattamenti di dati, le misure organizzative, tecniche ed informatiche adottate, nonché le responsabilità e le sanzioni.
L'obbligo formativo non deve essere sottovalutato dal Responsabile del trattamento amministratore che, infatti, laddove non ne fornisse evidenza documentale, rischia, ai sensi dell'art. 83 par 4 del Regolamento privacy europeo, la rilevante sanzione amministrative pecuniarie spropositate previste dalla norma.
Occorre anche soffermarsi sulla circostanza che l'adempimento degli obblighi formativi è sovente oggetto anche di accertamenti ispettivi da parte dell'Autorità Garante privacy mediante il suo braccio operativo (Nucleo Speciale Privacy della Guardia di Finanza) che più volte hanno richiesto in sede ispettiva la verifica del programma ed il piano di formazione, le dispense, i materiali erogati e il test finale, analizzando il profilo delle istruzioni agli incaricati al trattamento connesse all'accesso, alla consultazione delle banche dati, nonché i livelli di autorizzazione e le policy utilizzate (ad esempio in materia di password e di videosorveglianza).
In mancanza di formazione non si potrebbe neppure adempiere al principio tanto caro al GDPR di ridurre al minimo il rischio di data breach.
La formazione costituisce, pertanto, una misura di sicurezza a carico del titolare Condominio, periodica e continuativa, ed è un conseguente diritto e dovere per gli amministratori Responsabili del trattamento.
Formazione amministratori, le risposte ai quesiti
Nell'eseguirla, inoltre, andranno stabilite le aree di priorità di intervento, sia da un punto di vista orizzontale (tematiche ed argomenti) sia verticale (ai responsabili e ai vari livelli degli addetti al trattamento).
La formazione costituisce essa stessa, quindi, una misura essenziale al fine di garantire un livello di sicurezza adeguato a garanzia del Titolare del trattamento e concretizza il principio di "accountability", ossia di responsabilizzazione del Titolare del trattamento, previsto dal Regolamento europeo n. 679/16.
Resta però un punto dolente. Il GDPR pur prescrivendo l'obbligo di formazione, non ne specifica modalità e contenuti, spetta quindi al Titolare del Trattamento o, in caso di Condominio all'amministratore responsabile del trattamento sceglierne la forma e i programmi affinché essa risulti efficace.
Chiudiamo quindi con quanto espresso il 24/05/2018 dal Presidente del Garante Nazionale Prof. Antonello Soro specificando che tra gli adempimenti fondamentali rientra: "un'adeguata formazione del personale, modulata naturalmente sulle specifiche mansioni di ciascuno".
Quindi al virtuoso amministratore non ci resta che augurare una "buona nuova formazione obbligatoria"!
