Una nuova scadenza è stata “annotata” in tutte le agende delle imprese italiane ed europee. Infatti, come ben noto agli addetti ai lavori, il 25 maggio 2018 (giorno di applicazione del GDPR, o Regolamento sulla privacy n. 679/2016) fissa la deadline entro cui ogni azienda dovrà preoccuparsi di aver implementato le procedure necessarie per una corretta gestione del trattamento e della protezione dei dati personali.
In tale contesto, un aspetto importante che non dovrà essere sottovalutato da ogni singola impresa o organizzazione, sarà la formazione dei propri dipendenti. Ciò in quanto le potenziali minacce, che le aziende potrebbero subire, potranno pervenire non solo dalla violazione o inesatta attuazione delle regole previste dalla nuova normativa ma anche da una mancata o inefficace formazione del singolo lavoratore nell’esercizio delle proprie mansioni, quali ad esempio una diffusione illecita di dati personali o l’utilizzo erroneo degli stessi in relazione alle finalità consentite.
Pertanto una corretta e costante formazione dei singoli dipendenti può portare, in termini di benefit aziendali, ad un maggior controllo e consapevolezza di ciò che è lecito e consentito nell’ambito delle attività di trattamento dei dati personali.
In tal senso, come sottolineato dal Garante per la Protezione dei Dati personali nella Guida all’applicazione del Regolamento europeo (consultabile al seguente link http://www.garanteprivacy.it/titolare-responsabile-incaricato-del-trattamento), nonostante il GDPR non preveda espressamente la figura dell’incaricato del trattamento, non ne esclude la presenza in quanto fa riferimento a “persone autorizzate al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile”. Pertanto le disposizioni del Codice Privacy in materia di incaricati del trattamento sono pienamente compatibili con la struttura e la filosofia del Regolamento. Dunque sarà compito dell’azienda non solo prevedere dei limiti relativi al tipo e alla quantità di dati personali a cui hanno accesso i dipendenti – in base alle mansioni specifiche definite all’interno della struttura aziendale – ma anche garantire una formazione costante e sempre aggiornata di questi.
Sul punto appare utile rilevare come l’art. 39 del Regolamento preveda, tra i vari compiti affidati al c.d. DPO, quello di: “informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal presente regolamento nonché da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati”.
In tal senso l’esigenza voluta dal Legislatore europeo è quindi quella di voler sensibilizzare le aziende e, di conseguenza, i dipendenti sulla tematica della data protection mediante una formazione e un’istruzione periodica anche al fine di far in modo che un corretto e consapevole utilizzo dei mezzi messi a disposizione ai dipendenti possano evitare fenomeni di data breach.
Marco Catalano, Senior Legal Consultant P4I – Partners4Innovation