Autorizzati e istruiti

L'art. 29 GDPR contiene un importante richiamo al concetto di istruzione:

"Il responsabile del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del titolare del trattamento, che abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri."


Ebbene, sempre più frequente è il richiamo a tale articolo per imporre un corso di formazione dei data handler. Per quanto utile, però, non è imposto dalla norma. Nell'ottica di responsabilizzazione, infatti, sarà il titolare che dovrà scegliere le modalità di istruzione adeguate per i soggetti che svolgono le operazioni di trattamento in considerazione dei rischi riconducibili ai comportamenti umani. Qualora sia scelto un percorso di formazione, è bene ricondurre i principi del GDPR alle ricadute pratiche in azienda, con riferimento a procedure o prassi adottate o da adottare, al fine di garantire concretezza ed effettività. Alcune istruzioni possono essere contenute nel Regolamento aziendale, mentre altre possono essere più specifiche e inserite nel mansionario: tutto, comunque, è rimesso ai poteri di valutazione (dei rischi) e di scelta (delle contromisure) del titolare del trattamento.

Commenti