Seleziona una pagina
L’importanza dell’atto di nomina a Responsabile del trattamento ai sensi dell’articolo 28 del GDPR

L’importanza dell’atto di nomina a Responsabile del trattamento ai sensi dell’articolo 28 del GDPR

La compliance al GDPR richiede una corretta gestione dei rapporti tra Titolare e Responsabile del trattamento. In questo articolo, esploreremo l’importanza dell’atto di nomina a Responsabile del trattamento ai sensi dell’articolo 28 del GDPR e forniremo indicazioni utili per entrambe le parti coinvolte.

L’importanza dell’atto di nomina a Responsabile del trattamento

Una volta superata la fase di qualificazione dei fornitori e dopo aver scelto il fornitore che presenta garanzie adeguate alla tipologia di attività commissionata, è necessario regolamentare questo rapporto ai fini privacy tramite un apposito accordo.

L’articolo 28 del GDPR

L’articolo 28, comma 3 del Reg. UE 679/2016 (“GDPR”) recita quanto segue:

“I trattamenti da parte di un responsabile del trattamento sono disciplinati da un contratto o da altro atto giuridico a norma del diritto dell’Unione o degli Stati membri, che vincoli il responsabile del trattamento al titolare del trattamento e che stipuli la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento. […]”.

L’accordo tra Titolare e Responsabile

Sebbene questo atto venga spesso dimenticato, l’articolo 28 del GDPR che abbiamo appena letto ci insegna l’importanza della regolamentazione del rapporto esistente tra un Titolare e il suo Responsabile nel mondo del trattamento dei dati personali.

Questo tipo di accordo permette di normare alcuni aspetti fondamentali sulle modalità di trattamento applicate dai soggetti coinvolti, come ad esempio: quali tipi di dati possono essere trattati e per quali finalità, quali misure di sicurezza devono tutelare i dati coinvolti, per quanto tempo questi possono essere conservati e così via.

Clausole Contrattuali Tipo e personalizzazione

Sebbene siano state formulate delle Clausole Contrattuali Tipo dalla Commissione Europea (citate per la prima volta nella Direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati) è fondamentale che il c.d. DPA (Data Protection Agreement) venga stipulato ad hoc, seguendo le specifiche esigenze derivate dalle attività di trattamento che il Responsabile effettua per conto del Titolare.

Le suddette clausole standard possono essere utilizzate in via complementare, per integrare disposizioni che non dovessero essere regolamentate direttamente nell’atto di nomina ex art. 28 GDPR mediante apposita clausola di rinvio, e/o come fac simile iniziale sulla base del quale redigere il proprio accordo.

Indicazioni per Titolari e Responsabili

Se osserviamo questo rapporto giuridico dal lato del Titolare del trattamento, è fondamentale redigere un atto di nomina sufficientemente tutelante e nel quale vengano esposti in maniera dettagliata tutti gli aspetti citati dall’articolo 28 GDPR citato all’inizio di questo articolo.

Se, invece, ci troviamo a rivestire il ruolo di Responsabile del Trattamento (o Sub-Responsabile!) è bene che verifichiamo attentamente il contenuto di tutti gli accordi che ci pervengono, per verificare che non dispongano obblighi eccessivamente gravosi e/o non previsti dalla normativa.

Hai bisogno di assistenza?

La redazione di un atto di nomina a Responsabile del trattamento conforme all’articolo 28 del GDPR può essere complessa e richiede una conoscenza approfondita della normativa. Se dovessi aver bisogno di aiuto per creare o esaminare le nomine, il nostro team di esperti è a tua disposizione.

Contattaci per una consulenza personalizzata e per garantire che il rapporto tra Titolare e Responsabile del trattamento sia regolamentato in modo appropriato e conforme al GDPR. Non lasciare nulla al caso quando si tratta di protezione dei dati personali: affidati a professionisti competenti e preparati.

Dott.ssa Matilde Grassi

Curriculum Vitae e trattamento dei dati: sei sicuro di trattarli in modo corretto?

Curriculum Vitae e trattamento dei dati: sei sicuro di trattarli in modo corretto?

Nella gestione delle risorse umane, il curriculum vitae è uno strumento fondamentale per valutare le competenze e l’esperienza dei candidati. Tuttavia, essendo un documento che contiene dati personali, è essenziale trattarlo in modo corretto e lecito, in conformità con le normative sulla privacy.

Il curriculum vitae e la privacy

Il curriculum vitae è un documento che contiene dati personali e che va trattato correttamente e in modo lecito.

Se il curriculum contiene la dichiarazione “autorizzo il trattamento dei miei dati personali ai sensi del gdpr” posso dormire sonni tranquilli o devo comunque fare qualcosa?

Attenzione perché la normativa è cambiata e ora la vediamo insieme.

Le novità introdotte dal Decreto Legislativo 101/2018

Il Decreto Legislativo 10 agosto 2018, n.101, emesso successivamente all’entrata in vigore del GDPR, ha introdotto nel Codice della privacy l’art. 111-bis, che riporta le “informazioni in caso di ricezione di curriculum”.

In questo articolo si specifica che, qualora vengano ricevuti dei curricula spontaneamente trasmessi al fine dell’instaurazione di un rapporto di lavoro, le informazioni di cui all’art. 13 del Regolamento Europeo 679/2016 (GDPR) devono essere fornite dal datore di lavoro al momento del primo contatto utile, successivo all’invio del CV.

Ecco la prima informazione UTILE!

Cosa fare quando si riceve un curriculum?

Non sarà dunque necessario l’inoltro “automatico” di un’informativa ad ogni ricezione di curriculum.

L’informativa la renderò al primo contatto utile appunto, per esempio al colloquio, in un successivo scambio di mail ecc.

L’informativa dovrà contenere gli elementi di cui all’art. 13 GDPR, tra cui: le modalità di trattamento dei dati personali, eventuali destinatari o categorie di destinatari (es. agenzie/società specializzate nella selezione del personale), il periodo di conservazione dei dati personali e le informazioni relative all’esercizio dei diritti degli interessati, nonché ogni altra informazione prevista nell’articolo indicato.

Il consenso non è più necessario

Inoltre, ai sensi dell’art. 111-bis del novellato Codice Privacy, il consenso non sarà più dovuto nel caso in cui il trattamento sia necessario all’esecuzione di misure contrattuali/precontrattuali adottate su richiesta dell’interessato (art. 6, par. 1, lett. b).

Cosa significa questo? Che la dicitura riportata sotto ai curriculum attuali (praticamente tutti!!) con la dicitura “acconsento al trattamento dei miei dati personali” non vale assolutamente NULLA!!

Sarà il titolare del trattamento, in un’ottica di accountability, a fornire l’informativa e a trattare i dati conformemente al GDPR.

Come gestire correttamente i curriculum nella tua azienda?

E tu sei sicuro di gestire correttamente i curriculum che prevengono alla tua azienda?

Se non lo sei CONTATTACI. Ricorda prevenire è meglio che prendere delle sanzioni.

In sintesi, il trattamento dei curriculum vitae richiede attenzione e conformità alle normative sulla privacy. La semplice dicitura “acconsento al trattamento dei miei dati personali” non è più necessaria. È responsabilità del titolare del trattamento fornire un’adeguata informativa e gestire i dati in linea con il GDPR.

Se hai dubbi sulla corretta gestione dei curriculum nella tua azienda, contattaci. Il nostro team di esperti è pronto ad assisterti per garantire la conformità alle normative e prevenire eventuali sanzioni. Ricorda, prevenire è sempre meglio che curare!

 

Avv. Clementina Baroni

Il tuo sito è conforme al GDPR? Scopri perché è importante e come proteggere i dati dei tuoi utenti.

Il tuo sito è conforme al GDPR? Scopri perché è importante e come proteggere i dati dei tuoi utenti.

La conformità al GDPR è un aspetto fondamentale per tutti i siti web che raccolgono e trattano dati personali degli utenti. In questo articolo, esploreremo i motivi per cui il tuo sito deve essere conforme al GDPR e forniremo esempi pratici di situazioni in cui i dati personali possono essere raccolti attraverso il tuo sito web.

Il tuo sito è conforme al GDPR? Scopri perché è importante e come proteggere i dati dei tuoi utenti.

Il sito Internet è uno strumento potente utilizzato dagli imprenditori per promuovere i propri servizi e mostrare le attività che svolgono. Tuttavia, spesso il sito web diventa anche un mezzo per raccogliere dati personali degli utenti, e questi dati devono essere trattati in modo corretto per evitare sanzioni e contestazioni spiacevoli.

Ma in quali situazioni il tuo sito web può raccogliere dati personali? Ecco alcuni esempi concreti:

  1. Form contatti

Quando un potenziale cliente compila un form di contatto sul tuo sito, inserisce necessariamente dati come nome, cognome, telefono, email e altro ancora. Questi dati vengono raccolti e conservati dal titolare del sito. Anche se può sembrare un’azione banale, si tratta di un vero e proprio trattamento di dati personali e deve essere gestito in modo adeguato. In caso contrario, si rischia di incorrere in sanzioni.

  1. Sezione “Lavora con noi”

Nella sezione dedicata alle opportunità di lavoro, oltre ai dati personali di base, spesso viene richiesto di allegare il curriculum vitae. Il CV contiene una grande quantità di informazioni personali, come nome, cognome, email, contatti e molto altro. Ma non solo! Il curriculum vitae può includere anche dati particolari, come quelli relativi a eventuali disabilità o condizioni di salute.

Attenzione alle dichiarazioni presenti nel CV! La semplice frase “autorizzo il trattamento dei miei dati personali ai sensi del GDPR” non è sufficiente a sollevare il titolare del sito da responsabilità in caso di illecito trattamento dei dati. Il titolare deve fornire un’informativa completa sul trattamento dei dati, conservarli nel rispetto delle norme e adempiere a una serie di obblighi previsti dalla legge.

  1. Altri dati

Anche le richieste di registrazione a eventi, form e altre sezioni del sito possono comportare la raccolta di numerosi dati personali. Questi dati devono essere trattati e conservati in modo corretto per garantire la conformità al GDPR.

  1. Raccolta dei consensi

Spesso sui siti web vengono raccolti consensi per l’invio di newsletter o per attività promozionali. È fondamentale che questi consensi siano acquisiti in modo corretto, con flag specifici e separati dalle informative. In caso contrario, si rischiano pesanti sanzioni.

Sei in grado di dimostrare di trattare e gestire correttamente i dati personali dei tuoi utenti? In caso di ispezione da parte del Garante della Privacy, su iniziativa autonoma o su richiesta di un concorrente o di clienti insoddisfatti, sarai in grado di provare di raccogliere, gestire, conservare e cancellare i dati in modo lecito?

Se hai dei dubbi sulla conformità del tuo sito web al GDPR, non esitare a contattare B&P Solution. I nostri esperti ti offriranno un’analisi approfondita del tuo sito, individuando eventuali criticità e fornendoti tutte le indicazioni necessarie per rendere il tuo sito pienamente conforme al GDPR. Ti guideremo passo dopo passo nel processo di adeguamento, assicurandoti la massima tranquillità e protezione dei dati personali dei tuoi utenti. Richiedi subito una consulenza personalizzata per mettere in sicurezza il tuo sito web!

Avv. Clementina Baroni

NIS2: “Abbiamo sempre fatto così” non basta più!

NIS2: “Abbiamo sempre fatto così” non basta più!

La sicurezza dei dati e la conformità alle normative sono temi cruciali per tutte le aziende, indipendentemente dalle loro dimensioni e dal settore in cui operano. Tuttavia, spesso si sentono frasi come “abbiamo sempre fatto così” o “la NIS2 sarà un flop come il GDPR”, che sottovalutano l’importanza di adottare misure di sicurezza adeguate e di adeguarsi alle normative vigenti. In questo articolo, esamineremo i rischi che le aziende corrono quando decidono di non investire sulla sicurezza dei dati e di non trattare correttamente le informazioni.

Spesso durante le call o durante gli audit, parlando di trattamento dati e di sicurezza degli stessi, si sente spesso la famosa frase “eh ma avvocato noi da sempre facciamo così” e ancora “la NIS2 sarà un flop così come lo è stato il GDPR“… e potrei continuare all’infinito.

E il problema si complica quando a dirlo sono addirittura i consulenti che invece di supportare i propri clienti nell’implementazione si “abbassano” a frasi di questo tipo pur di prendere o non perdere il cliente. Ma siamo tutti così sicuri di queste frasi o ce le diciamo perché ormai è un luogo comune?

Siamo davvero così sicuri di poter tenere delle misure di sicurezza orrende (sì, esatto, orrende, perché è questo di cui si parla in molte aziende anche strutturate!!) e continuare a lavorare?

Facciamo un esempio così capiamo meglio.

Sappiamo già (e comunque lo approfondiremo in un altro articolo) che a brevissimo entrerà in vigore la direttiva NIS2 (esattamente il 17 ottobre 2024) e nel perimetro di questa normativa entreranno, da statistiche nazionali, almeno 50.000 aziende. Intendo nel perimetro di applicazione della NIS2 senza considerare chi vi potrà rientrare nell’ambito della supply chain (ergo catena di fornitura, cioè io sono tenuto ad applicare la NIS2 e quindi richiedo i requisiti di questa norma a tutti i fornitori che intenderanno lavorare con me).

Fatta questa premessa, potremmo già ipotizzare il numero di aziende che rientreranno nel perimetro o per applicazione diretta e quante ci potrebbero rientrare per applicazione indiretta (ovvero sulla base della catena di fornitura).

È evidente, quindi, anche per chi poco mastica di questa materia, il rischio a cui ci esponiamo nel caso in cui continuiamo ad adottare misure inadeguate. Vediamo insieme questi rischi.

RISCHI PER LE AZIENDE CHE DECIDONO DI NON INVESTIRE SULL’ADOZIONE DI MISURE DI SICUREZZA ADEGUATE O NON TRATTANO CORRETTAMENTE I DATI:

1) Il primo rischio è quello maggiormente impattante e con maggiori conseguenze (legali, informatiche e di business): il rischio di subire un ATTACCO INFORMATICO. Premesso che, in ambito informatico, non si può né si riesce ad abbattere il rischio al 100%, è evidente che più le misure della mia azienda sono inadeguate, non aggiornate e non continuamente revisionate, più il rischio di attacco informatico aumenta. A ciò si aggiunga che se non faccio mai formazione e non sensibilizzo mai i miei dipendenti o collaboratori (che sono il mio firewall umano), più la percentuale aumenta.

Ricordiamoci che negli ultimi mesi gli attacchi informatici sono aumentati in misura notevole e aumenteranno sempre più, quindi va tenuta alta la guardia;

2) Il secondo rischio è quello legato alla catena di fornitura (lo abbiamo accennato prima). Se io voglio lavorare con un cliente che applica la NIS2 (oltre il GDPR e altre normative) e questo, con un questionario o altro sistema di valutazione del fornitore, mi richiede l’applicazione di determinate misure di sicurezza e io non le ho, il risultato è evidente: o mi adeguo o NON LAVORO con realtà simili!

3) Rischio sanzioni per non ottemperanza di norme di legge. Questo rischio è legato il più delle volte a un comportamento errato del titolare del trattamento, ovvero vi sono norme che vanno applicate ma io titolare, volutamente o per superficialità o per trascuratezza o perché non voglio pagare un consulente (e aggiungete voi altri motivi), decido di non adeguarmi alla normativa vigente (sia GDPR, NIS2 ecc). O dato che voglio pagare poco, faccio qualche adempimento qua e là sperando che basti.ATTENZIONE PERCHÉ UN ADEMPIMENTO PARZIALE NON EQUIVALE A CONFORMITÀ E PONE A RISCHIO SANZIONI!

Anzi, a parere di chi scrive, una conformità parziale (deleghe fatte male, adempimenti lacunosi, nomine o designazioni ad autorizzati non sottoscritte o sottoscritte senza che la forma corrisponda alla sostanza, e potrei continuare per ore) mette potenzialmente più a rischio di una non conformità totale, anche da un punto di vista psicologico, e mi spiego meglio.

Nella non conformità totale il titolare SA di non applicare la norma (o le norme) e quindi in caso di ispezione e conseguente sanzione la responsabilità è completamente del titolare senza se e senza ma.

Nella conformità parziale, invece, nei casi indicati sopra, il titolare CREDE di essere a posto, di essere compliant, e quindi non aggiorna le misure, non forma il suo personale, non differenzia la formazione tenuto conto dei dati trattati e chi più ne ha più ne metta. Ergo continua a pensare di essere a posto quando in realtà non lo è! E questo è davvero pericolosissimo!

La domanda, quindi, sorge spontanea!

Sei effettivamente ed efficacemente conforme? Sottoponi a audit continui la tua realtà? Aggiorni costantemente le tue misure di sicurezza? Coinvolgi concretamente il tuo IT, fai audit con lui e ascolti fattivamente quello che ti consiglia?

Se la risposta è NO o hai dubbi sulla stessa, CONTATTACI!

In conclusione, è fondamentale che le aziende prendano sul serio la sicurezza dei dati e la conformità alle normative. Sottovalutare questi aspetti può portare a gravi conseguenze, come attacchi informatici, perdita di opportunità di business e sanzioni. È essenziale affidarsi a professionisti competenti che possano guidare l’azienda nel percorso di adeguamento e di continuo miglioramento delle misure di sicurezza.

Non aspettare che sia troppo tardi! Agisci ora per proteggere la tua azienda e i tuoi dati. Contatta il nostro team di esperti in sicurezza informatica e conformità normativa. Saremo lieti di offrirti una consulenza personalizzata per valutare lo stato attuale della tua azienda e sviluppare un piano d’azione su misura per garantire la tua conformità e mitigare i rischi. Prenota subito una chiamata gratuita con i nostri specialisti e fai il primo passo verso una maggiore sicurezza e tranquillità per il tuo business. Non rimandare, la sicurezza dei tuoi dati e la reputazione della tua azienda sono troppo importanti per essere lasciate al caso. Contattaci oggi stesso.

Avv. Clementina Baroni

Cybersecurity Manager Dpo e Lead Auditor 27001

 

 

 

Le quattro fasi per comunicare al CSIRT Italia un incidente cibernetico

Le quattro fasi per comunicare al CSIRT Italia un incidente cibernetico

La notifica degli incidenti cibernetici riveste un ruolo di primaria importanza nel quadro delle recenti evoluzioni normative. La nuova normativa NIS2 prevede un sistema di notifica obbligatoria degli incidenti cibernetici per diverse categorie di soggetti. È fondamentale rispettare queste disposizioni, poiché il mancato adempimento può comportare conseguenze giuridiche rilevanti.

L’Agenzia per la Cybersicurezza Nazionale (ACN) ha pubblicato la Guida alla notifica degli incidenti al CSIRT (Computer Security Incident Response Team) Italia. L’obiettivo è quello di illustrare ad ogni soggetto le informazioni necessarie per effettuare la notifica di incidente, sia che il soggetto abbia un obbligo normativo di notifica, come i soggetti inclusi nel Perimetro di Sicurezza Nazionale Cibernetica (PSNC), gli Operatori di Servizi Essenziali (OSE), i Fornitori di Servizi Digitali (FSD), i Telco e i soggetti sottoposti alle disposizioni in materia di rafforzamento della cybersicurezza nazionale e di reati informatic (entità considerate dalla legge n. 90/2024 – c.d. “Legge sulla Cybersicurezza” – recante disposizioni in materia di rafforzamento della cybersicurezza nazionale e di reati informatici), sia che esso non operi in settori critici e non abbia vincoli in tal senso, come piccole e medie Imprese e cittadini.

La Guida, quindi, si rivolge anche ai soggetti, pubblici e privati, che pur non essendo obbligati alla notifica intendono tuttavia, volontariamente segnalare l’incidente allo CSIRT, in questo modo contribuendo a una migliore condivisione della conoscenza del livello e dell’intensità della minaccia, per rafforzare la resilienza dell’ecosistema digitale italiano.

La corretta adozione della procedura di notifica degli incidenti cibernetici costituisce un elemento cruciale per garantire sicurezza e resilienza delle reti, dei sistemi informativi e dei servizi informatici. La prontezza e la precisione delle informazioni fornite durante il processo di notifica rivestono un ruolo fondamentale per consentire al CSIRT Italia di acquisire una conoscenza completa ed esau-stiva dell’incidente occorso ai fini dell’attività di allertamento e per fornire ai soggetti impattati il supporto necessario nell’ottica del ripristino dei servizi stessi.

Il documento è organizzato in sezioni chiave, che, per ciascuna tipologia di soggetto segnalante, forniscono informazioni sul contesto normativo di riferimento, sulle eventuali e specifiche tempistiche da rispettare e relative sanzioni per il mancato adempimento nonché una descrizione delle fasi in cui si articola il flusso di processo. Per ciascuna delle categorie di soggetti viene indicata una specifica sezione denominata “Come riconoscere un incidente da notificare”, che è quanto deve essere incluso nei processi aziendali di gestione incidenti per assicurarsi di intercettare correttamente quelli che necessitano di notifica.

Le linee guida forniscono, dunque, un modello di processo di notifica degli incidenti al CSIRT Italia, salvo prevedere adattamenti per ciascuna categoria di soggetti, tenuto conto delle specifiche esigenze e dei relativi obblighi normativi.

Le quattro fasi fondamentali del flusso di notifica sono:

1. Una fase preparatoria.

A seguito della rilevazione di un incidente, il soggetto segnalante avvia una fase preparatoria alla notifica con l’obiettivo di raccogliere le informazioni minime per garantire al CSIRT Italia un’attivazione proporzionata alla potenziale criticità ed ai potenziali impatti di natura sistemica derivanti dall’incidente stesso.
Rientrano in tale fase le attività di preparazione della segnalazione dell’incidente, ove prevista.

2. La fase di notifica.

Una volta raccolte le informazioni necessarie ad effettuare la segnalazione, ove prevista, e/o la notifica, si potrà procedere alla compilazione di un modulo online disponibile sul sito internet del CSIRT Italia: https://www.csirt.gov.it/segnalazione.
Tale comunicazione occorre che venga effettuata al CSIRT con una tempistica definita nelle linee guida, e diversamente declinata in funzione dell’appartenenza del soggetto ai diversi presidi

normativi. In ogni caso, la segnalazione è strettamente correlata al principio di immediatezza della conoscenza dell’incidente.

3. Gestione della notifica.

Dopo aver ricevuto la segnalazione, ove prevista, e/o la notifica, sulla base del livello di servizio previsto per la specifica categoria di soggetto segnalante, il CSIRT Italia valuterà l’opportunità di fornire supporto nelle operazioni di incident handling, da remoto o in loco. Durante questa fase, in base alla tipologia del soggetto segnalante e alla normativa vigente, su richiesta del CSIRT Italia potranno essere effettuate ulteriori attività anche a seguito della risoluzione dell’incidente.

4. Chiusura dell’incidente.

Una volta terminate le attività di gestione dell’incidente da parte del soggetto segnalante ed eventualmente pianificate le attività di rientro dell’incidente, il CSIRT Italia procederà alla chiusura dell’incident.

Le linee guida saranno oggetto di revisione, soprattutto in considerazione dell’implementazione a livello nazionale della direttiva europea NIS2 o di eventuali ulteriori emendamenti alle legislazioni citate nel documento.

In sintesi, la notifica degli incidenti cibernetici è un obbligo legale che non può essere trascurato. Per assicurarsi di essere sempre conformi alle normative, come la NIS2, e di proteggere adeguatamente la propria organizzazione, è fondamentale affidarsi a professionisti esperti. Bep Solution srl offre consulenza legale specializzata per guidarvi nel processo di notifica degli incidenti e per garantire la conformità alla NIS2 e alle altre normative in materia di sicurezza informatica.

Avv. Valentina De Simone

La formazione in materia di privacy: un obbligo di legge.

La formazione in materia di privacy: un obbligo di legge.

È già nota a tutti l’obbligatorietà della formazione in materia di sicurezza sul lavoro per i dipendenti di un’azienda, come previsto dal D. Lgs. 81/2008, ma molti si chiedono se sia obbligatoria anche la formazione in materia di privacy.

È sufficiente osservare i dettati normativi di questi due articoli per capirlo:

  • L’Articolo 29 del Reg. EU 679/2016 (“GDPR”) sancisce chiaramente che: “Il responsabile del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del titolare del trattamento, che abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso dal titolare del trattamento […]”.
  • L’Art. 32 punto 4 ribadisce a sua volta che: “Il titolare del trattamento e il responsabile del trattamento fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento […]”.

In via definitiva: sì, la formazione in materia di privacy è, a tutti gli effetti, un obbligo sancito per legge a cui il datore di lavoro (e tutti il personale della sua azienda) deve necessariamente adempiere.

Inoltre, percorrendo la supply-chain, il GDPR dice anche che è un diritto del Titolare del trattamento premurarsi che i suoi fornitori (ovvero i Responsabili del trattamento e i relativi soggetti autorizzati) si conformino al suddetto obbligo normativo e, pertanto, siano tutti adeguatamente formati.

A questo punto è lecito domandarsi: quanto deve durare la formazione GDPR?

Il Regolamento Europeo 679 del 2016 dispone criteri meno rigidi e certamente più generici di quelli sanciti dall’Accordo Stato-Regioni 221/CSR del 2011 per la formazione in materia di sicurezza sul lavoro.

Per valutare come costruire o come scegliere la formazione in materia di privacy è bene tenere a mente che la durata e gli argomenti dei corsi sul GDPR devono essere ponderati basandosi sull’entità e sulla complessità dei trattamenti effettuati e delle misure di sicurezza che l’autorizzato al trattamento deve conoscere e attuare.

Proprio per questo motivo capita sovente che non tutti i dipendenti possano effettuare i medesimi corsi di formazione… in caso di attività di trattamento diverse tra loro, differenziare i corsi di formazione per renderli aderenti alle necessità del lavoratore è sempre la scelta giusta!

Se hai dubbi su come organizzare la formazione in materia di privacy nella tua azienda o se desideri maggiori informazioni sugli obblighi previsti dal GDPR, B&P Solution è qui per aiutarti. Offriamo corsi di formazione in modalità sia sincrona che asincrona, creati su misura da professionisti altamente specializzati e qualificati. I nostri corsi sono progettati per soddisfare le esigenze specifiche della tua azienda, garantendo che tutto il personale sia adeguatamente formato e preparato ad affrontare le sfide della privacy.

Dott.ssa Matilde Grassi

My Agile Privacy
Questo sito utilizza cookie tecnici e di profilazione. Cliccando su accetta si autorizzano tutti i cookie di profilazione. Cliccando su rifiuta o la X si rifiutano tutti i cookie di profilazione. Cliccando su personalizza è possibile selezionare quali cookie di profilazione attivare.