Autorizzati e istruiti
"Il responsabile del trattamento, o chiunque agisca
sotto la sua autorità o sotto quella del titolare del trattamento, che
abbia accesso a dati personali non può trattare tali dati se non è
istruito in tal senso dal titolare del trattamento, salvo che lo
richieda il diritto dell’Unione o degli Stati membri."
Ebbene, sempre più frequente è il richiamo a tale articolo per imporre un corso di formazione dei data handler. Per quanto utile, però, non è imposto dalla norma. Nell'ottica di responsabilizzazione, infatti, sarà il titolare che dovrà scegliere le modalità di istruzione adeguate per i soggetti che svolgono le operazioni di trattamento in considerazione dei rischi riconducibili ai comportamenti umani. Qualora sia scelto un percorso di formazione, è bene ricondurre i principi del GDPR alle ricadute pratiche in azienda, con riferimento a procedure o prassi adottate o da adottare, al fine di garantire concretezza ed effettività. Alcune istruzioni possono essere contenute nel Regolamento aziendale, mentre altre possono essere più specifiche e inserite nel mansionario: tutto, comunque, è rimesso ai poteri di valutazione (dei rischi) e di scelta (delle contromisure) del titolare del trattamento.
Commenti
Posta un commento