ITALIA OGGI

Lo prevede il regolamento europeo. Sanzioni per le imprese fino al 2% del fatturato
Obbligatori i corsi di privacy
Tenuti dipendenti pubblici e privati. E professionisti

Sab. 18 – Obbligatori corsi privacy per dipendenti pubblici e privati. E anche i professionisti esterni, che lavorano per la p.a. o per un’azienda, dovranno dimostrare la loro conoscenza delle disposizioni sulla protezione dei dati personali.
Il regolamento europeo sulla privacy, n. 679/2016, prescrive ai titolari di trattamento (aziende e pubbliche amministrazioni) di far seguire dai propri collaboratori appositi corsi per acquisire conoscenze sulla normativa europea e nazionale in materia di protezione dei dati.
La norma di riferimento è l’articolo 29 del regolamento europeo, secondo cui il responsabile del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del titolare del trattamento, che abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli stati membri. Bisogna fare comunque uno sforzo per capire il linguaggio tecnico utilizzato. La traduzione è che chi tratta dati personali nell’ambito di un ente pubblico o di una organizzazione di impresa deve essere stato istruito e deve dimostrare di conoscere gli adempimenti di privacy. L’obbligo è particolarmente cogente. Si pensi all’articolo 83, paragrafo 4, del regolamento, che assoggetta, tra le altre, la violazione dell’articolo 29 alla sanzione amministrativa pecuniaria fino a 10 milioni di euro, o per le imprese, fino al 2 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.
Un analogo obbligo era espressamente previsto dall’allegato «b» al codice della privacy, nella versione originaria relativa al documento programmatico sulla sicurezza.
L’obbligo è stato formalmente abrogato, ma non è venuto meno l’obbligo di garantire la protezione dei dati e la sicurezza dei trattamenti.
Nel regolamento europeo (che diventerà operativo dal 25 maggio 2018) imprese e p.a. devono preoccuparsi di dimostrare la liceità dei trattamenti dei dati da loro effettuati (principio di responsabilizzazione). A carico del titolare del trattamento si pone anche la prova di avere reso edotti tutti coloro che trattano dati dei rischi del trattamento. Sul piano del risarcimento del danno, un titolare del trattamento, pubblico o privato, potrà difendersi se dimostra che l’evento dannoso non gli è imputabile. Anche a questo fine il titolare del trattamento dovrà dimostrare di avere addestrato il personale al rispetto delle prerogative dell’interessato. I dipendenti e collaboratori devono essere formati al loro ingresso in azienda o nell’ente e in occasione di novità organizzative o normative significative. Gli interventi di formazione e la loro adeguatezza alla realtà lavorativa potranno essere presi in considerazione per calibrare le sanzioni amministrative e la decisione sul risarcimento del danno.
La dimostrazione del grado di conoscenza della normativa sulla privacy riguarda non solo i dipendenti, ma anche chi agisce per l’ente pubblico o privato sulla base di un rapporto di lavoro autonomo e professionale. Antonio Ciccia Messina