Articoli

Violazione del GDPR, il dirigente risponde del danno arrecato alla PA e ai terzi

Corte dei Conti: il dirigente risponde in caso di violazione del GDPR

 

L’introduzione del GDPR ha apportato sostanziali modifiche alla previgente normativa in materia di protezione dati personali. Il Regolamento, in particolare, amplifica le responsabilità del titolare del trattamento dati, attraverso l’enunciazione del principio di accountability.

Il nuovo sistema di Data Protection trova piena applicazione anche nell’ambito della Pubblica Amministrazione, che nel 2019 è risultato il settore più colpito dalle sanzioni per violazione del GDPR. Nel caso della Pubblica Amministrazione, in effetti, il dovere di condotta conforme al Regolamento (accountability) deve essere osservato a tutti i livelli organizzativi, nonché oggetto di puntuale controllo da parte dei dirigenti.

La violazione del GDPR, secondo la Corte dei conti, costituisce presupposto per la configurabilità del danno erariale, ed espone i dirigenti a rispondere personalmente del pregiudizio patito dall’Ente:

  • già nel 2018, la Corte dei Conti-Sardegna, con sentenza n. 73/2018 aveva affermato che la violazione della legislazione in materia di dati personali da parte degli Enti pubblici costituisce condotta gravemente colposa fonte di responsabilità personale che comporta l’obbligo del risarcimento del danno erariale;
  • nel corso del 2019, invece, ulteriori pronunce del giudice contabile hanno ribadito che il depauperamento sofferto dall’Ente (a causa del pagamento della sanzione comminata dal Garante privacy) e il rapporto di servizio sono elementi costitutivi della responsabilità erariale.

 

In sintesi, la casistica giurisprudenziale conferma che in caso di inosservanza della normativa in materia di protezione dati, la Pubblica Amministrazione possa rivalersi nei confronti dei dirigenti.

 

La necessità di percorsi formativi adeguati e di servizi di consulenza mirati: le proposte di Hedya

 

Le recenti sentenze della Corte dei Conti confermano che per poter operare correttamente, una ottima conoscenza dei principi e delle novità introdotte dal GDPR, nonché delle più importanti applicazioni pratiche, costituisce un requisito essenziale, benché non unico: occorrono, altresì, costanti aggiornamenti ed approfondimenti mirati sulle prassi applicative.

Per tali ragioni, Hedya fornisce percorsi formativi e di aggiornamento, nonché servizi di consulenza.

Hedya propone un articolato percorso formativo, in relazione agli specifici bisogni e livelli formativi.

In particolare, si prevede:

 

  1. Corsi di formazione per Data Protection Officer
  • Corso “DPO: DATA PROTECTION OFFICER”, necessario per accedere a un percorso di elevata specializzazione. Il corso ha una durata di 40 ore di lezioni teoriche e 6 ore di simulazione dell’attività quotidiana del DPO;
  • Corso “DPO: DATA PROTECTION OFFICER – Avanzato”, per chi ha già acquisito le conoscenze di base di natura giuridica e organizzativa e intende acquisire le nozioni pratico- applicative di base per svolgere le attività di DPO;

 

  1. Corsi di formazione per tutti i soggetti coinvolti nelle operazioni di trattamento dati

 

  1. Formazione e consulenza in materia di Digitalizzazione

Hedya supporta le Pubbliche Amministrazioni anche attraverso servizi di consulenza mirati, in materia di digitalizzazione, sui temi più critici connessi agli obblighi e agli adempimenti prescritti dalla legge.

Per tali ragioni, Hedya propone il percorso formativo “IL RESPONSABILE PER LA TRANSIZIONE AL DIGITALEper il corretto svolgimento dei compiti del Responsabile per la Transizione al Digitale, considerato il driver della transizione al Digitale.

Il percorso è rivolto:

  • a tutti coloro che all’interno delle Pubbliche Amministrazioni sono coinvolti, a vario titolo, nei processi di trasformazione alla modalità digitale;
  • a tutti coloro che sono stati nominati e che svolgono attualmente il ruolo di Responsabile per la Transizione al Digitale.

 

Ulteriori dettagli sui percorsi formativi sono disponibili qui.

/da

PA “bocciata” al test di conformità al GDPR: è il settore più sanzionato

PA e GDPR compliance: quali criticità?

In base ad una ricerca condotta nel corso del 2019, la Pubblica Amministrazione si dimostra il settore più colpito dalle sanzioni per violazione della normativa sulla protezione dei dati personali nel corso del 2019.

Come è noto, il settore pubblico è tenuto ad operare un costante bilanciamento tra protezione dei dati personali e trasparenza, al fine di garantire il buon andamento e l’imparzialità dell’Amministrazione.

In base all’analisi dei molteplici provvedimenti del Garante per la protezione dati, le questioni più critiche riguardano:

  • Assenza di adeguate misure di sicurezza ex art. 32 GDPR;
  • Inadeguatezza del proprio sistema gestionale e documentale;
  • Pubblicazione di dati non necessari o non pertinenti, in contrasto con i principi previsti all’art. 5 GDPR;
  • Ostensione di dati e informazioni oltre il termine legale, comportando l’esercizio dei diritti dell’interessato ai sensi degli artt. 15 – 22 GDPR.

 

Le ripetute violazioni del GDPR da parte delle Pubbliche Amministrazioni costituiscono ben il 17% del totale delle sanzioni amministrative pecuniarie irrogate nel corso del 2019, e già alla fine di gennaio 2020 questo trend sembra trovare puntuale conferma.

A metà gennaio, infatti, il Garante per la protezione dati ha emanato una nuova ordinanza ingiunzione, con cui ha comminato una sanzione amministrativa pecuniaria pari a 10 mila euro per violazione del GDPR. In particolare, all’ente comunale destinatario del provvedimento (Comune di Francavilla Fontana) è stata contestata la condotta di illecita pubblicazione di dati nell’albo pretorio online, a causa della di una determinazione dirigenziale in cui risultavano riportati anche dati e informazioni personali del reclamante. In particolare, la determina conteneva dettagliati riferimenti:

  • alle relative infermità per cause di servizio;
  • l’indicazione che lo stesso aveva diritto all’equo indennizzo per un certo importo;
  • le coordinate IBAN dell’avvocato incaricato dall’Ente.

 

Il Comune si è attivato per rimuovere i dati personali dei soggetti interessati appena ricevuta la richiesta di informazioni da parte del Garante, attuando un comportamento collaborativo con l’Autorità al fine di porre rimedio alla violazione e attenuarne i possibili effetti negativi. Inoltre, sono state messe in atto diverse misure tecniche e organizzative messe in atto ai sensi degli artt. 25-32 del RGPD. Tale comportamento è stato valutato positivamente dal Garante, che ne ha tenuto conto ai fini di una minor determinazione della sanzione amministrativa pecuniaria.

 

Come rendersi GDPR compliant? I percorsi formativi e i servizi di consulenza suggeriti da Hedya

 

Il caso sottoposto all’attenzione del Garante dimostra che l’applicazione delle prescrizioni contenute nel GDPR risulta ormai imprescindibile, e che l’assenza di formazione ed informazione costituisce uno dei primi fattori di criticità del sistema organizzativo aziendale e pubblico.

Per tali ragioni, Hedya propone:

  • percorsi di formazione e aggiornamento;
  • percorsi di approfondimento e perfezionamento;
  • servizi di consulenza per verificare la conformità alla normativa rilevante in materia.

 

Si segnalano, per i percorsi formativi e di aggiornamento:

In particolare, si prevede:

  1. Corsi di formazione per Data Protection Officer
  • Corso “DPO: DATA PROTECTION OFFICER”, necessario per accedere a un percorso di elevata specializzazione. Il corso ha una durata di 40 ore di lezioni teoriche e 6 ore di simulazione dell’attività quotidiana del DPO;
  • Corso “DPO: DATA PROTECTION OFFICER – Avanzato”, per chi ha già acquisito le conoscenze di base di natura giuridica e organizzativa e intende acquisire le nozioni pratico- applicative di base per svolgere le attività di DPO;

 

  1. Corsi di formazione per tutti i soggetti coinvolti nelle operazioni di trattamento dati

 

Ulteriori dettagli sui percorsi formativi sono disponibili qui.

 

 

/da

Data Protection Officer, l’Autorità Garante Ellenica ridisegna i casi di conflitto di interesse

Il conflitto di interesse secondo l’Autorità ellenica: quali novità?

 

Il Data protection officer (DPO) rappresenta sicuramente una delle maggiori novità del GDPR. Il Regolamento, infatti, prevede che si tratti di un professionista dotato di competenze specialistiche ed esperienza in materia di protezione dei dati, indipendente. Inoltre, in base all’articolo 38, paragrafo 6, al DPO è consentito di “svolgere altri compiti e funzioni”, ma a condizione che il titolare del trattamento o il responsabile del trattamento si assicuri che “tali compiti e funzioni non diano adito a un conflitto di interessi”.

Per tali ragioni, sia le Linee-guida sui responsabili della protezione dei dati” del Working Party Article 29, sia il Position Paper del 30.9.2018 dell’EDPS hanno elencato i casi più significativi di conflitto di interessi.

 

In particolare, possono sussistere situazioni di conflitto all’interno dell’organizzazione del titolare del trattamento o del responsabile del trattamento:

  • riguardo a ruoli manageriali di vertice (amministratore delegato, responsabile operativo, responsabile finanziario, responsabile sanitario, direzione marketing, direzione risorse umane, responsabile IT);
  • rispetto a posizioni gerarchicamente inferiori, se queste ultime comportano la determinazione di finalità o mezzi del trattamento;
  • quando, in caso di nomina di DPO esterno si chiede di rappresentare il titolare o il responsabile in un giudizio che tocchi problematiche di protezione dei dati.

 

Con il Provvedimento del 23 gennaio 2020, l’autorità ellenica per la protezione dei dati (HDPA) ha stabilito che il DPO non può altresì rappresentare il responsabile del trattamento o il responsabile dinanzi alle Autorità di controllo, nei casi che riguardano problematiche di protezione dei dati: secondo l’Autorità, questa situazione può creare un conflitto di interessi ai sensi del GDPR, indipendentemente dalla natura interna o esterna della nomina.

 

 

Come rendersi GDPR compliant? I percorsi formativi e i servizi di consulenza suggeriti da Hedya

 

Il caso dell’Autorità ellenica dimostra che l’assenza di formazione ed informazione su tali aspetti costituiscono i primi fattori di criticità del sistema organizzativo aziendale e pubblico.

Per tali ragioni, Hedya propone:

  • percorsi di formazione e aggiornamento;
  • percorsi di approfondimento e perfezionamento;
  • servizi di consulenza per verificare la conformità alla normativa rilevante in materia.

 

Si segnalano, per i percorsi formativi e di aggiornamento:

In particolare, si prevede:

  1. Corsi di formazione per Data Protection Officer
  • Corso “DPO: DATA PROTECTION OFFICER”, necessario per accedere a un percorso di elevata specializzazione. Il corso ha una durata di 40 ore di lezioni teoriche e 6 ore di simulazione dell’attività quotidiana del DPO;
  • Corso “DPO: DATA PROTECTION OFFICER – Avanzato”, per chi ha già acquisito le conoscenze di base di natura giuridica e organizzativa e intende acquisire le nozioni pratico- applicative di base per svolgere le attività di DPO;

 

  1. Corsi di formazione per tutti i soggetti coinvolti nelle operazioni di trattamento dati

 

Ulteriori dettagli sui percorsi formativi sono disponibili qui.

/da

Telemarketing e Pubblicità nel mirino del Garante: prime maxi sanzioni per violazione del GDPR

Prime maxi sanzioni del Garante italiano: la conformità al GDPR non è regola derogabile

 

Il 2019 ha rappresentato un anno di profonda rivoluzione per la protezione dati personali. Esaurito il periodo di “tolleranza”, anche il Garante italiano per la protezione dati ha provveduto ad emanare i primi provvedimenti sanzionatori.

Le prime due maxi sanzioni sono state applicate nei confronti di Eni Gas e Luce (Egl), per complessivi 11,5 milioni di euro. Le condotte illecite censurate riguardavano, rispettivamente:

  • trattamenti illeciti di dati personali nell’ambito di attività promozionali (telemarketing e teleselling) ;
  • trattamenti illeciti di dati personali, convergenti nell’attivazione di contratti non richiesti.

Le violazioni accertate hanno dimostrato una grave inosservanza dei principi e delle regole comportamentali richieste dal GDPR.

In particolare, si evidenziano:

  • attività pubblicitaria telefonica, effettuata senza il consenso della persona contattata;
  • perpetuata attività pubblicitaria, sebbene fosse stato manifestato il diniego dell’interessato a ricevere chiamate promozionali, oppure senza attivare le specifiche procedure di verifica del Registro pubblico delle opposizioni;
  • l’assenza di misure tecnico organizzative in grado di recepire le manifestazioni di volontà degli utenti;
  • tempi di conservazione dei dati superiori a quelli consentiti;
  • l’acquisizione dei dati dei potenziali clienti da soggetti (list provider) che non avevano acquisito il consenso per la comunicazione di tali dati.

 

Il Garante italiano ha, dunque, rilevato le irregolarità, ingiungendo a Egl l’adozione di una serie di misure correttive e l’introduzione di specifici alert in grado di individuare varie anomalie procedurali.

Le sanzioni sono state determinate tenendo conto dei parametri indicati nel GDPR, tra i quali figurano:

  • l’ampia platea dei soggetti coinvolti (almeno 7200 soggetti interessati);
  • la pervasività delle condotte;
  • la durata della violazione;
  • le condizioni economiche di Egl.

 

 

La necessità di percorsi formativi adeguati e di servizi di consulenza mirati: le proposte di Hedya

 

Per poter operare correttamente, una ottima conoscenza dei principi e delle novità introdotte dal GDPR costituisce un requisito essenziale, benché non unico: occorrono, altresì, costanti aggiornamenti ed approfondimenti mirati sulle prassi applicative.

Per tali ragioni, Hedya fornisce percorsi formativi e di aggiornamento, nonché servizi di consulenza.

Hedya propone un articolato percorso formativo, in relazione agli specifici bisogni e livelli formativi.

In particolare, si prevede:

 

  1. Corsi di formazione per Data Protection Officer
  • Corso “DPO: DATA PROTECTION OFFICER”, necessario per accedere a un percorso di elevata specializzazione. Il corso ha una durata di 40 ore di lezioni teoriche e 6 ore di simulazione dell’attività quotidiana del DPO;
  • Corso “DPO: DATA PROTECTION OFFICER – Avanzato”, per chi ha già acquisito le conoscenze di base di natura giuridica e organizzativa e intende acquisire le nozioni pratico- applicative di base per svolgere le attività di DPO;

 

  1. Corsi di formazione per tutti i soggetti coinvolti nelle operazioni di trattamento dati

 

Ulteriori dettagli sui percorsi formativi sono disponibili qui.

/da

Ex dipendente, il Garante dispone: è illecito mantenere attivo l’account aziendale

Account aziendale dell’ex dipendente: il datore può accedere?

 

La protezione dei dati personali del dipendente deve essere assicurata anche in caso di cessazione del rapporto di lavoro. Questo è il principio espresso dal Garante per la protezione dati in un suo recente parere.

Nel caso di specie, una società aveva mantenuto attivo l’account di posta aziendale di un dipendente dopo l’interruzione del rapporto di lavoro, accedendo alle mail aziendali contenute nella sua casella di posta elettronica. L’ex dipendente era venuto a conoscenza di questa condotta per caso, nel corso di un giudizio promosso nei suoi confronti proprio dalla sua ex azienda: quest’ultima, in particolare, aveva depositato agli atti una email recapitata sulla sua casella di posta un anno dopo la cessazione del rapporto lavorativo. L’account di posta era rimasto così attivo per oltre un anno e mezzo, e la sua eliminazione è avvenuta solo dopo la diffida presentata dal lavoratore nei confronti dell’azienda. L’ex dipendente ha, inoltre, proposto reclamo al Garante, giacché per tale periodo la società aveva avuto accesso a tutte le comunicazioni contenute nel proprio account, anche estranee all’attività lavorativa.

Secondo il Garante, grava sul datore di lavoro l’obbligo, in conformità ai principi in materia di protezione dei dati personali, di rimuove gli account di posta elettronica aziendali riconducibili a persone identificate o identificabili dopo la cessazione del rapporto di lavoro, in un tempo ragionevole parametrato ai tempi tecnici di predisposizione delle misure.

È onore del datore di lavoro, inoltre:

  • provvedere alla contestuale adozione di sistemi automatici volti ad informarne i terzi ed a fornire a questi ultimi indirizzi alternativi riferiti all’attività professionale del titolare del trattamento;
  • predisporre misure idonee ad impedire la visualizzazione dei messaggi in arrivo durante il periodo in cui tale sistema automatico è in funzione;

L’adozione di tali misure tecnologiche ed organizzative consente, secondo il Garante, di contemperare l’interesse del titolare ad accedere alle informazioni necessarie all’efficiente gestione della propria attività e a garantirne la continuità con la legittima aspettativa di riservatezza sulla corrispondenza da parte di dipendenti/collaboratori nonché dei terzi.

 

 

Come operare correttamente? I percorsi formativi e i servizi di consulenza offerti da Hedya

 

Per poter operare correttamente, una ottima conoscenza dei principi e delle novità introdotte dal GDPR costituisce un requisito essenziale, benché non unico: occorrono, altresì, costanti aggiornamenti ed approfondimenti mirati sulle prassi applicative.

Per tali ragioni, Hedya fornisce percorsi formativi e di aggiornamento, nonché servizi di consulenza.

Si suggerisce:

 

 

Ulteriori informazioni sono disponibili qui.

 

/da

Obiettivo Data Protection Officer: Hedya presenta i percorsi formativi più adeguati

Sfondo vettore creata da macrovector - it.freepik.combackground vector illustration">

Chi è il Data Protection Officer?  

 

Con l’entrata in vigore del nuovo Regolamento 2016/679/Ue (articoli 37 – 39) è stata introdotta, per tutti gli Stati membri, la figura del Data Protection Officer. Si tratta di una figura che richiama il cd. “Privacy Officer”, precedentemente previsto dall’articolo 18 della direttiva europea 1995/46/Ce, che istituiva semplificazioni o agevolazioni in caso di designazione di un soggetto indipendente, teso a garantire l’applicazione della normativa.

Pertanto, la codificazione della figura del Data Protection Officer (in seguito “DPO”) ha acquisito un’indiscussa centralità e dirompenza, tanto a livello statuale, quanto a livello europeo:

  • le comunicazioni dei dati di contatto dei responsabili della protezione dei dati siano state più di 48mila.
  • secondo uno studio condotto dall’IAPP (International Association of Privacy Professionals), il numero delle nomine a livello europeo supererebbe le soglie delle 500 mila unità.

 

Il DPO è dunque un soggetto indipendente, che non sostituisce, ma affianca il titolare o il responsabile del trattamento nella corretta gestione del trattamento dei dati personali.

La funzione del DPO è nettamente distinta da quelle del Titolare del trattamento:

  • spetta al Titolare la determinazione delle modalità e finalità del trattamento, oltre che all’ottemperanza degli adempimenti (come, ad esempio, il registro dei trattamenti);
  • il DPO assolve, ai sensi dell’articolo 39 GDPR, una funzione controllo e monitoraggio degli adempimenti e del rispetto delle prescrizioni previste dal Regolamento, ad esempio per l’esecuzione della valutazione d’impatto, la definizione del registro dei trattamenti, o la gestione delle terze parti.

Quale formazione?

 

Il DPO non richiede, tra i requisiti, il necessario possesso di certificazioni. L’articolo 37 del GDPR non fornisce un elenco analitico delle qualità professionali che dovrebbero essere considerate al momento della designazione del DPO. Pertanto, come affermato nella pronuncia del TAR Friuli Venezia Giulia, sent. 13/9/2018 n. 287  la certificazione di Auditor/Lead Auditor ISO/IEC/27001 non costituisce un titolo abilitante ai fini dell’assunzione e dello svolgimento delle funzioni di responsabile della sicurezza dei dati.

Il Garante privacy ha specificato che è opportuno privilegiare i soggetti in possesso di approfondita conoscenza:

  • della normativa e delle prassi in materia di privacy nonché delle norme e delle procedure amministrative che caratterizzano lo specifico settore di riferimento;
  • dei rischi propri di ciascun trattamento dati e delle più appropriate misure di sicurezza;

Inoltre, il DPO deve possedere evidenti e concrete qualità professionali e gestionali, adeguate alla complessità del compito da svolgere, che possono essere supportate da esperienze formative.

 

Per tali motivi, Hedya propone un articolato percorso formativo, in relazione agli specifici bisogni e livelli formativi.

In particolare, si prevede:

  1. Corsi di formazione per Data Protection Officer
  • Corso “DPO: DATA PROTECTION OFFICER”, necessario per accedere a un percorso di elevata specializzazione. Il corso ha una durata di 40 ore di lezioni teoriche e 6 ore di simulazione dell’attività quotidiana del DPO;
  • Corso “DPO: DATA PROTECTION OFFICER – Avanzato”, per chi ha già acquisito le conoscenze di base di natura giuridica e organizzativa e intende acquisire le nozioni pratico- applicative di base per svolgere le attività di DPO;

 

  1. Corsi di formazione per tutti i soggetti coinvolti nelle operazioni di trattamento dati

 

Ulteriori dettagli sui percorsi formativi sono disponibili qui.

/da

Installazione cookie: la Corte di giustizia “detta” nuove regole

I cookie sotto la lente del GDPR

Come osservato nel precedente articolo, i cookie sono informazioni immesse sul browser ogniqualvolta si compia un’operazione in rete. Si pensi, ad esempio, alla navigazione in rete e visita di un sito web, oppure all’utilizzo di un social network dal proprio pc, smartphone tablet.

Dal punto di vista informativo, ogni cookie può contenere diversi dati, imponendo in tal caso il rispetto dei principi sulla protezione dati.

Con l’entrata in vigore del Regolamento UE 2016/679 (GDPR), sono stati rafforzati i requisiti sulla validità del consenso: come risulta dall’art. 7 comma 1 del GDPR e del Considerando 32 il consenso dovrà essere espresso mediante un atto positivo con cui l’interessato esprime la propria intenzione libera, specifica, informata ed inequivocabile di accettare il trattamento dei dati personali che lo riguardano.

Di conseguenza, per poter essere validamente conferito, l’interessato:

  • deve essere in grado di intendere quali trattamenti verranno effettuati;
  • può decidere liberamente se accettare o meno (senza alcuna conseguenza negativa) il trattamento indicato;
  • può modificare la propria scelta in maniera altrettanto libera e agevole.

 

Quale consenso? La Corte di giustizia dell’Unione europea detta le regole

 

Alla luce delle novità introdotte dal GDPR, l’aspetto più problematico riguarda le modalità di prestazione del consenso per l’installazione dei cookies.

Il quesito è stato sottoposto alla Corte di giustizia dell’Unione europea, per ottenere un’interpretazione uniforme sull’intero territorio dell’Unione europea.

Con la sentenza emanata lo scorso 1 Ottobre, la Corte ha dichiarato che il consenso che l’utente di un sito Internet deve prestare ai fini dell’installazione e della consultazione di cookie sulla sua apparecchiatura terminale non è validamente espresso mediante una casella di spunta preselezionata che l’utente deve deselezionare al fine di negare il proprio consenso.

La Corte ha dunque affermato che:

  • il consenso deve essere specifico;
  • il fatto che un utente attivi il pulsante di partecipazione ad un gioco a premi non è sufficiente per ritenere che l’utente abbia validamente espresso il proprio consenso all’installazione di cookie;
  • il periodo di attività dei cookie, nonché la possibilità o meno per i terzi di avere accesso a tali cookie rientrano tra le informazioni che il fornitore di servizi deve comunicare all’utente.

 

Quali conseguenze ?

La recente sentenza della Corte di giustizia dimostra che per poter operare correttamente sul web, occorre una buona conoscenza dei principi e delle novità introdotte dal GDPR. Si suggerisce:

 

/da

Un anno di GDPR in Italia: l’importanza della formazione come vantaggio competitivo

corso-gdpr

Cosa cambia?

L’introduzione del Regolamento europeo sulla protezione dati personali n. 679/2016/UE (“GDPR”) ha portato all’abrogazione della Direttiva 95/46/CE, che per più di venti anni ha rappresentato la pietra angolare della normativa europea in materia di protezione dei dati personali. Con il GDPR, in particolare, la protezione dei dati personali si è affermata quale presupposto necessario e indefettibile da osservare nell’ambito di tutte le operazioni di trattamento dati, effettuate:

  • non solo da operatori privati,
  • ma anche per quelle compiute dalla Pubblica Amministrazione nell’esercizio della propria attività.

 

Dal punto di vista operativo, inoltre, ciò si è tradotto nella necessità di adeguare l’impianto organizzativo italiano al nuovo approccio adottato dal legislatore dell’Unione, basato sul rispetto del principio dell’accountability e della privacy by design e by default.

L’avvento del GDPR segna così l’inizio di un vero e proprio percorso di conformità del trattamento dati per gli operatori pubblici e privati, orientato alla protezione dei dati per garantire i diritti dell’interessato.

Tale percorso non si esaurisce nella predisposizione di adeguate misure tecniche ed organizzative, ma richiede altresì un percorso di formazione adeguato per evitare provvedimenti sanzionatori da parte dell’Autorità di controllo.

Il GDPR presta molta attenzione agli obblighi formativi. Essi sono previsti, in particolare, dall’articolo 39, paragrafo 1, lett. b), il quale attribuisce, tra i compiti del Data Protection Officer, quello di “sorvegliare l’osservanza […] delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi […] la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo”. A tal fine il DPO può concordare con il Titolare e il Responsabile del Trattamento un piano per la formazione in materia di privacy, che preveda corsi periodici per personale e, più in generale, per tutti i collaboratori.

 

Perché optare per una corretta formazione?

 

A distanza di almeno un anno dalla piena entrata in vigore del GDPR, tuttavia, i risultati conseguiti in Italia non risultano soddisfacenti:

  • secondo l’Eurobarometro diffuso dalla Commissione europeai cittadini italiani figurano al penultimo posto per conoscenza dell’esistenza di una normativa in materia di protezione dati;
  • già a Settembre 2018, a distanza di soli 4 mesi dall’entrata in vigore del nuovo regolamento,le segnalazioni e i reclami pervenuti al Garante Privacy sono stati 2.547, a fronte dei 1.795 pervenuti nello stesso periodo dello scorso anno, mentre le segnalazioni di Data breach sono state 305;
  • oltre 89.000 notifiche di violazione dei dati sono state segnalate da maggio 2018, provenienti da organizzazioni sia pubbliche che private.

 

Una corretta formazione si propone, dunque, come condizione imprescindibile.  Il GDPR, tuttavia, non specifica le modalità e contenuti, richiedendo soltanto che la stessa risulti efficace.

 

Cosa fare?

Si suggeriscono, in relazione alle differenti esigenze formative, alcuni percorsi caratterizzanti:

  • Formazione breve: consente ai partecipanti di ottenere un’adeguata formazione in materia di gestione dei dati personali. Tale percorso risulta particolarmente rilevante per il settore pubblico, ove l’obbligo di formazione per le Pubbliche Amministrazioni le imprese in materia di protezione dei dati personaliper tutte le figure presenti nell’organizzazione (sia dipendenti che collaboratori).
  • Formazione avanzata: fornisce ai partecipanti, che hanno già acquisito le conoscenze di base di natura giuridica e organizzativa, le nozioni pratico-applicative di base per lo svolgimento effettivo delle attività. Tale percorso è particolarmente utile per le attività che competono al Responsabile per la protezione dei dati personali (Data Protection Officer o DPO), proponendosi come approfondimento – in chiave tecnica – delle conoscenze di base già acquisite in precedenza.
/da

Elementi di portfolio