Lo scorso luglio, a seguito di ispezione della Guardia di Finanza, il Garante della Privacy ha inflitto ad una società la multa di € 200.000, 00, tra l’altro per non aver provveduto alla adeguata formazione dei propri collaboratori, qualificati come “procacciatori esterni” di contratti della telefonia.

L’irrogazione della sanzione conferma l’importanza e la centralità degli obblighi formativi nell’ambito del GDPR, atteso che è illecito qualsiasi trattamento di dati personali se svolto da soggetti, compreso il titolare, che non sono stati previamente formati.
Questo enunciato è fondamentale all’interno del sistema normativo e sanzionatorio introdotto dal GDPR e non tollera deroghe né tolleranze.

I richiami normativi sono chiari e stringenti:

Art. 32 u.c. GDPR Il titolare del trattamento e il responsabile del trattamento fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri.

Art. 29 GDPR Il responsabile del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del titolare del trattamento, che abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri.

Dunque, il “corredo” documentale fatto da informativa, eventuale consenso, le finalità lecite, le misure tecniche non sono sufficienti a rendere lecito il trattamento se il titolare non è lui stesso informato e formato e se non sono formati i soggetti da lui incaricati al trattamento.
Non solo il trattamento è irregolare, ma è proprio illecito e dà luogo a responsabilità e pesanti sanzioni.
Infatti, nel caso di mancata erogazione della Formazione GDPR scatta, infatti, ai sensi dell’art. 83 par 4 del Regolamento europeo, la rilevante sanzione amministrativa pecuniaria fino a 10 milioni di euro o, per le imprese, fino a 2% del fatturato mondiale annuo dell’anno precedente se superiore.

La formazione oltre che erogata deve anche essere comprovata, nel senso che il titolare del trattamento deve esser in grado di dimostrare l’avvenuto adempimento dell’obbligo formativo.

Da qui la necessità che l’azienda ovvero il professionista tenuto all’osservanza del GDPR si doti di un vero e proprio piano formativo da aggiornare quantomeno annualmente.