DOMANDA
Quale formazione occorre organizzare per i lavoratori di un’organizzazione relativamente ai temi del GDPR? Nel nuovo regolamento vi è un obbligo specifico? Un monte ore? E’ necessario tracciare e dare evidenza di questo aspetto?
A.C.
RISPOSTA
Il GDPR stabilisce che il titolare e il responsabile del trattamento fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso. Ciò è stabilito dall’art. 32 che si occupa della sicurezza del trattamento.
Vuol dire, in altre parole, che qualunque individuo che abbia ricevuto dal titolare o dal responsabile un incarico che comporta un trattamento di dati deve essere in grado di svolgere le relative attività senza incorrere in rischi attinenti alla protezione dei dati.
Non vi sono indicazioni specifiche circa il monte ore da erogare o i contenuti specifici della formazione. La formazione deve essere volta ad illustrare quanto previsto in materia di trattamento di dati personali, dopodiché sarà in capo ad ogni azienda decidere come strutturarla e quali punti approfondire maggiormente.
Quindi vige il principio generale di adeguatezza delle misure di sicurezza, per cui la formazione deve essere adeguata rispetto al ruolo svolto dal lavoratore nello specifico contesto di riferimento.
Non vi sono nemmeno obblighi circa la tracciatura della formazione svolta ma, anche in questo caso, è preferibile, in ordine al principio di accountability previsto dal GDPR, avere la possibilità di dimostrare quante ore di formazione sono attribuibili ad ogni lavoratore.
Mandate i vostri quesiti ai nostri esperti
Quesiti legal: espertolegal@cybersecurity360.it
Quesiti tecnologici: espertotech@cybersecurity360.it
