La vostra Organizzazione è chiamata a rispondere a un audit ispettivo indetto da una azienda indipendente per conto di una importante Compagnia assicurativa al fine di stabilire se, le attività svolte nell’ambito della presa in carico di una perizia scelta a campione, siano state effettuate in ottemperanza al  Regolamento 679/2016 (GDPR) e al Codice Privacy.

Pertanto, al fine di cautelarsi, l'Organizzazione ha ritenuto opportuno convocare in via preventiva un gruppo di lavoro interno con l’obiettivo di analizzare, alla presenza del proprio Data Processor Officer (DPO), le possibili osservazioni che  potrebbero essere sollevate in contraddittorio durante l'audit ispettivo.

Dove è scritto che la formazione GDPR sia un obbligo? 

Anche se l’obbligo non è esplicitato in un preciso articolo, il Regolamento UE 679/2016 afferma che il titolare deve autorizzare e istruire le persone incaricate del trattamento, che equivale a un impegno di formazione. 

Inoltre, il GDPR (1.b dell’Art.39) attribuisce al Data Protection Officer (DPO) la sorveglianza sulle politiche del titolare del trattamento, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale.

La centralità della formazione è confermata dall’art. 32 “Sicurezza del trattamento” paragrafo 4 del RGPD che prevede che “il titolare del trattamento ed il responsabile del trattamento fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri”.

La formazione costituisce, pertanto, un prerequisito per potere operare all’interno delle organizzazioni.

Tra le varie prescrizioni introdotte dal Regolamento UE 679/2016 vi è l’obbligo della formazione per le pubbliche amministrazioni e per le imprese in materia di protezione dei dati personali. Tale formazione è rivolta a tutte le figure presenti nell’organizzazione, sia dipendenti che collaboratori. 

La centralità della formazione è confermata dall’art. 32 “Sicurezza del trattamento” paragrafo 4 del RGPD che prevede che “il titolare del trattamento ed il responsabile del trattamento fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri”.

La formazione costituisce, pertanto, un prerequisito per potere operare all’interno delle organizzazioni.

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI ha ricevuto una segnalazione, con la quale è stata lamentata una violazione della normativa in materia di protezione dei dati personali da parte del Comune di Trieste.

Nello specifico, dalla verifica preliminare effettuata dal Garante, è risultato che all’indirizzo web http://... si apriva una pagina intitolata «Bandi e Concorsi», relativa alla determinazione dirigenziale n. XX, pubblicata in data XX, avente a oggetto «L'Affidamento di servizi assicurativi per il omune di Trieste», con i relativi «atti intermedi» e «allegati».