GDPR: Obbligo di formazione per autorizzati, designati e DPO e sanzioni comminabili in caso di violazione
di Annalisa VavalloFlavia Piscitelli Scarica in PDFAd un anno dalla piena applicabilità del GDPR, spesso ci si domanda quale sia il reale livello di adeguamento nazionale degli enti, sia in ambito pubblico che privato e il livello di “consapevolezza” e attenzione in materia di protezione dati, raggiunto dai Titolari e Responsabili del trattamento dei dati personali (e ovviamente dipendenti delle varie strutture).
Per comprendere al meglio lo spirito del GDPR, è opportuno richiamare l’attenzione sul principio cardine del Regolamento, ossia quello di accountability (responsabilizzazione): colui che deve adottare e rispettare le regole e principi del GDPR è chiamato a conoscere in primis la realtà in cui opera, gli strumenti di cui è dotato, il personale che ha a disposizione e i contenuti della propria attività. Solo attraverso questa indagine interna, propedeutica per la conoscenza della propria struttura, ci si può realmente rendere conto dello stato in cui si versa dal punto di vista della “privacy”.
Il titolare del trattamento deve in realtà poter dimostrare non solo di essersi attenuto alle regole del GDPR, ma, soprattutto, di aver posto in essere tutta una serie di attività (che egli stesso dovrà essere in grado di giustificare) dalle quali sarà facilmente deducibile la sua soglia di attenzione rispetto alla materia.
L’approccio all’accountability non riguarda solo la parte tecnologica o strettamente legata alla sicurezza di un’impresa o di una PA o di uno studio professionale, ma anche e soprattutto l’assegnazione dei ruoli, la loro documentata competenza e – di grande rilievo, ma spesso ignorato – lo sviluppo di piani formativi.