Secondo l’art. 32 del Regolamento Europeo 679/2016, “il titolare del trattamento ed il responsabile del trattamento fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri”.
Ciò implica che la formazione in materia di privacy è obbligatoria e deve coinvolgere non solo il titolare del trattamento, ma anche gli incaricati (“responsabili”) del trattamento, i dirigenti e sviluppatori in campo informatico e i direttori di unità commerciali.
La formazione diventa dunque un prerequisito per poter operare sia in aziende che in Pubbliche Amministrazioni, e mira ad illustrare i rischi generici e specifici del trattamento di dati sensibili e le misure da adottare per ottimizzare la sicurezza degli stessi.
Nessuno è esente da questo processo e in caso di mancata formazione il Garante prevede fino a 10 milioni di euro di sanzione amministrativa o, per le aziende, pari al 2% del fatturato mondiale dell’anno precedente se superiore (art.38 par.4 RE 679/2016).
I corsi di formazione, organizzati e progettati secondo le necessità e priorità dell’ente in questione, verranno elargiti da un DPO (data protection officer) che ha il compito di istruire in maniera completa ed esauriente chiunque lavori con dati sensibili. Partecipare a questi corsi, dimostrando dunque di essere in grado di lavorare con dati sensibili correttamente e secondo le direzioni del Regolamento, attualizza proprio il concetto di accountability che si riscontra nel GDPR (secondo il quale l’incaricato del trattamento potrà agire solo entro i limiti previsti dal trattamento stesso).