Formazione sulla Privacy

Formazione sulla privacy: obbligatoria all’interno di società e P.A.

Chi non si adegua rischia grosse sanzioni.

Il Regolamento privacy europeo 679/16 (Gdpr) prevede l’obbligo della formazione sulla privacy per le pubbliche amministrazioni ed imprese in materia di protezione dei dati personali per tutte le figure presenti nell’organizzazione (sia dipendenti che collaboratori).

La formazione sulla privacy è importante soprattutto per tutte quelle aziende che trattano dati sensibili, ma l’obbligo è vigente per tutte le imprese e Enti Pubblici, i quali dovranno adeguarsi per non incappare in multe salate.

Vediamo gli aspetti principali che indica il legislatore nell’ambito della formazione sulla privacy.

Sommario


Formazione sulla Privacy - ARETHUSEA - Consulenza e Formazione 1


Come sarà la formazione?

La formazione sulla privacy è, pertanto, un requisito essenziale e obbligatorio per potere lavorare all’interno delle organizzazioni, imprese e pubbliche amministrazioni.

Guardando all’impianto del Regolamento, il corso sulla privacy dovrebbe trattare argomenti che riguardano più discipline, associando elementi e acquisizioni di competenze informatiche da un lato e nozioni giuridiche dall’altro.

Il taglio dovrà essere molto pratico, mettendo in risalto le casistiche possibili e le risoluzioni alle varie necessità di protezione dei dati aziendali.

Su questo punto la nostra attività di consulenza sul GDPR 2016 n° 679 vi potrebbe essere utile per inquadrare al meglio gli argomenti da trattare nell’ambito del percorso formativo sulla privacy.

La formazione può essere realizzata in aula oppure attraverso un corso sulla sicurezza online ed ha come principale scopo quello di illustrare i rischi generali e specifici dei trattamenti di dati, le misure organizzative, tecniche ed informatiche adottate, nonché le responsabilità e le sanzioni.

La formazione costituisce, pertanto, una misura di sicurezza per le organizzazioni, un onere a carico del titolare, un diritto e dovere per i dipendenti e i collaboratori.

Arethusea supporta aziende ed enti pubblica nella realizzazione di tutto il percorso nella formazione sulla privacy.

Gli argomenti principali che vengono trattati durante il corso saranno i seguenti:

  • Il GDPR (NORMATIVA GENERALE)
  • Persone autorizzate al trattamento dei dati personali
  • Responsabili del trattamento dati interne ed esterne
  • Titolari del trattamento di dati personali
  • Custode password
  • Amministratore di sistema
  • DPO
  • DPIA
  • Consultazione preventiva
  • Registri trattamento dati
  • Modalità di raccolta dei dati (informative e moduli di consenso)
  • Trattamento dei dati su supporti informatici
  • Trattamento dei dati su supporti non informatici
  • Comunicazione e diffusione dei dati
  • Diritti e doveri
  • Un caso tipico: gli impianti di videosorveglianza, i sistemi di GPS, le newsletter, i siti e social web
  • Trasferimento dei dati all’estero

Al termine del percorso formativo verrà rilasciato un attestato di partecipazione che è valido su tutto il territorio nazionale e che certifica l’avvenuta frequenza e superamento del corso di formazione sulla privacy.


Che devono fare le Aziende ed Enti Pubblici?

Aziende ed Enti pubblici, di fronte a questa precisa richiesta normativa, dovranno perciò implementare un percorso di formazione sulla privacy dedicato a far apprendere le nozioni principali ai propri addetti.

Oltre a fare ciò, dovranno predisporre dei documenti che attestano la modalità di esecuzione del processo di gestione della privacy.

All’interno di questi documenti dovranno essere chiariti i seguenti punti:

  • chi sono i responsabili della gestione dei dati in azienda. Ogni soggetto, individuato con il proprio nome e cognome, dovrà essere inserito all’interno del documento, specificando la mansione;
  • quali sono le procedure adoperate nell’utilizzo dei dati. Ogni funzione aziendale dovrà essere dettagliata e per ogni ruolo occorre precisare quali sono le finalità nell’utilizzo dei dati;
  • quali sono le modalità di conservazione e protezione dei dati. I dati vanno salvaguardati da intrusioni terze non autorizzate e pertanto vanno conservati e protetti in modo adeguati;
  • quali sono le procedure da attivare quando si verifica una violazione dei dati personali (in inglese “data breach”)

Gli Enti Pubblici e le Aziende, in questo percorso, vengono supportati da un consulente privacy GDPR, il quale predispone tutti i passaggi necessari ad ottemperare alle necessità legislative.

Tutte le procedure sopra descritte dovranno essere messe “nero su bianco” e i soggetti coinvolti verranno designati attraverso una lettera di incarico, contenente anche tutte le istruzioni sui trattamenti che dovranno svolgere.

Formazione sulla Privacy - ARETHUSEA - Consulenza e Formazione 2


 

Chi è il DPO (Data Protection Officer)?

La normativa introduce anche la figura del DPO (Data Protection Officer).

Il DPO è un professionista designato dall’azienda o dall’ente pubblico (può essere interno o esterno) la cui responsabilità principale è quella di osservare, valutare e organizzare la gestione del trattamento di dati personali (e dunque la loro protezione) affinché questi siano trattati nel rispetto delle normative privacy europee e nazionali.

Tale figura deve avere competenze giuridiche, informatiche, di risk management e di analisi dei processi.

Il data protection officer dovrà altresì occuparsi della “formazione del personale che partecipa ai trattamenti ed alle connesse attività di controllo”.

La previsione di tale compito a carico del DPO costituisce un ulteriore elemento di garanzia della centralità e dell’effettività della formazione che potrà nella logica del regolamento anche essere oggetto di specifici audit.

La formazione costituisce essa stessa una misura essenziale al fine di garantire un livello di sicurezza adeguato a garanzia del Titolare del trattamento, il quale viene sollevato da una responsabilità oggettiva.

Attraverso il piano di gestione della Privacy il titolare dimostra che il trattamento dei dati é lecito, corretto, trasparente, pertinente, adeguato, legittimo e che vengono rispettati i principi di minimizzazione e di conservazione dei dati.

La formazione sulla privacy costituisce quindi un tassello rilevante del cd sistema di gestione privacy in grado di concretizzare il principio di accountability inteso come capacità di dimostrare di avere adottato misure di sicurezza adeguate.

La formazione non deve essere considerata, pertanto, un mero adempimento burocratico ma come un’opportunità per rendere consapevoli gli operatori dei rischi connessi al trattamento dei dati, delle misure di sicurezza, per evitare danni reputazionali e per ridurre i rischi di sanzioni amministrative.


Gli accertamenti del garante della Privacy

L’obbligo formativo non deve essere in alcun modo sottovalutato da parte delle pubbliche amministrazioni e delle imprese: nel caso di mancata erogazione della formazione scatta, infatti, ai sensi dell’art. 83 par 4 del Regolamento privacy europeo, la rilevante sanzione amministrativa pecuniaria fino a 10 milioni di euro o, per le imprese, fino a 2 % del fatturato mondiale annuo dell’anno precedente se superiore.

L’adempimento degli obblighi formativi è sovente oggetto anche di accertamenti ispettivi da parte dell’Autorità Garante privacy e da parte della Guardia di Finanza che ha rinnovato nel 2016 il protocollo di intesa con l’Autorità.

Il Garante, in diversi casi, in sede ispettiva ha richiesto, infatti, di acquisire il programma ed il piano di formazione, le dispense, i materiali erogati, il test finale ed ha analizzato il profilo delle istruzioni agli incaricati al trattamento connesse all’accesso, alla consultazione delle banche dati, i livelli di autorizzazione e policy aziendali (ad esempio in materia di password aziendali e di videosorveglianza).


Chi è obbligato al GDPR?

Tutte le persone giuridiche (società di capitali e società di persone) e tutte le persone fisiche (medico, psicologo, fisioterapista, dentista, professionista iscritto all’albo, ecc..) sono obbligate al GDPR.

Nel rispetto della privacy, questi soggetti, devono applicare tutte le procedure necessarie a tutelare l’anonimato e a proteggere i dati dei propri clienti, pazienti, fornitori, dipendenti, ecc…

Nel fare ciò, quindi, devono provvedere alla formazione sulla privacy dei propri dipendenti addetti all’utilizzo dei dati ed inoltre devono redigere e tenere aggiornato il registro del trattamento dei dati in possesso.

All’interno di questo registro devono segnare anche le procedure che vengono adottate per prendere le informazioni degli utenti e chi ne è il responsabile.


CONTATTACI

    L'informativa completa sul trattamento dati è consultabile al seguente link
    Privacy Policy