Tra le varie prescrizioni introdotte dal nuovo Regolamento europeo per il trattamento dei dati personali (GDPR) ve n’è una, molto spesso sottovalutata, relativa all’obbligo della formazione del personale in ambito privacy al fine di fornire strumenti metodologici e pratici che soddisfino tutti i requisiti normativi di conformità al GDPR.
Le pubbliche amministrazioni, pertanto, devono implementare dei processi formativi che rispondano ai requisiti delle misure di sicurezza: che siano cioè testabili, verificabili e valutabili per chiunque gestisca dati personali.
Come evidenziato non è infatti più possibile considerare la privacy e la protezione dei dati come un mero adempimento documentale e burocratico, in quanto l’efficacia dei processi aziendali passa anche attraverso un personale formato e culturalmente predisposto.
Creare una cultura della privacy attraverso un’adeguata formazione questo è lo slogan dettato dalla Autorità del Garanteutilizzando inserito nella procedura della privacy by design.
Il principio privacy by design e privacy bydefault (prevenire e non correggere) si richiede la progettazione della formazione del personale dipendente nel rispetto dell’obbligo di cui alle disposizioni che qui di seguito sono individuate e trattate.
In merito il “progetto” europeo in tema di sicurezza informatica ha fornito idonei strumenti per far fronte ai continui incidenti informatici checomportano effetti dannosi anche per la salute dei cittadini se si pensa che gli attacchi a strutture sanitarie (come gli Ospedali e Cliniche private) bloccano le normali loro attività.
Il percorso formativo rientra a pieno titolo nel progetto di responsabilizzazione dell’applicazione normativa europea quale strumento di prova in sede ispettiva (accertamento da parte del nucleo speciale della
Guardia di Finanza deputata a ciò) circa la verifica se il titolare e il responsabile hanno impartito istruzioni agli incaricati del trattamento circa il trattamento dei dati, le modalità di consultazione delle banche dati, i
livelli di autorizzazione e policy di tutela della privacy adottate dall’ente.
Per quanto sopra, il D.P.O. per le funzioni ed i compiti attribuiti dal Regolamento Europeo 679/2016 è un organo adibito alla sorveglianza e di controllo ed ai sensi dell’art.39 del richiamato regolamento deve anch’esso occuparsi di “formazione del personale che partecipa ai trattamenti ed alle connesse attività di controllo” in un’ottica, che in senso lato dellaprevisione del piano formativo diretto al personale, risponde al principio di accontntablity, responsabilizzazione del Titolare del trattamento previsto dall’art. 5 del regolamento europeo:” i dipendenti e i collaboratori potranno, infatti trattare previa autorizzazione ed entro i limiti delle istruzioni impartite dal titolare il quale deve dimostrare che il trattamento dei dati avviene in modo lecito, corretto, trasparente, pertinente, adeguato, legittimo e che vengano rispettati i principi di minimizzazione , di conservazione prevedendo misure di sicurezza adeguate”
Per le ragioni sopra esposte il DPO propone il presente percorso formativo che vedrà impegnato personale interno alla ASL Taranto che prevede i requisiti previsti dalla normativa citata.