Formazione privacy: un elemento di compliance fondamentale

La realizzazione periodica di attività formative è uno degli strumenti che permettono alle organizzazioni di dimostrare, in modo concreto, il proprio impegno per il rispetto dei principi di trattamento dei dati personali.

Già il Gruppo di lavoro ex art. 29, nel suo Parere 3/2010 sul principio di responsabilità (accountability), evidenziava come l’attuazione di misure di sicurezza e processi di trattamento conformi dovesse includere anche un’adeguata formazione e istruzione del personale coinvolto nelle operazioni di trattamento.

Che la formazione del personale autorizzato abbia un ruolo di primaria importanza è stato di recentemente evidenziato anche nel provvedimento del Garante per la protezione dei dati personali nei confronti della società Energia Pulita S.p.A. (provvedimento del 27 febbraio 2025, n. 114).

Questo provvedimento, nonostante sia stato ampiamente discusso e commentato in relazione alla contestata pratica del “consenso omnibus”, offre spunti significativi anche in merito all’adeguatezza delle misure organizzative adottate dalla società sanzionata. Tra le contestazioni che il Garante ha mosso nei confronti di Energia Pulita, merita un approfondimento la questione della formazione del personale sui temi privacy.

Il caso Energia Pulita parla anche di formazione

Nel provvedimento del febbraio 2025, l’Autorità ha riscontrato diverse violazioni della normativa in materia di protezione dei dati personali, e il tema della formazione del personale è emerso come un aspetto critico nella valutazione dell’adeguatezza delle misure adottate dalla società.

Tra le varie non conformità, il Garante ha rilevato infatti un notevole ritardo nell’organizzazione e nello svolgimento delle attività formative rivolte ai collaboratori: sebbene la società operasse dal 2019, infatti, i primi corsi di formazione in materia privacy erano stati organizzati a partire dall’inizio del 2024, quindi a distanza di diversi anni dall’inizio delle attività di trattamento dei dati personali.

Sul punto, il Garante ha evidenziato che l’art. 29 del Regolamento UE 2016/679 “impone non solo di provvedere alla formazione del personale prima o comunque nei periodi iniziali rispetto alla concreta adibizione allo svolgimento di trattamenti di dati personali, ma anche di provvedere a periodiche attività di aggiornamento, personalizzate sulla base delle mansioni svolte in concreto”.

Il Garante sottolinea come la formazione privacy debba essere, quindi:

• Preventiva, svolta prima che le attività di trattamenti abbiano inizio (o comunque nei periodi iniziali);
• Personalizzata, in base alle mansioni svolte dal singolo autorizzato al trattamento dei dati personali;
• Pervasiva, rivolta a tutte le persone autorizzate al trattamento dei dati personali;
• Periodica, per garantire l’aggiornamento delle competenze e un costante livello di attenzione verso la materia.

L’obbligo formativo nei provvedimenti del Garante privacy

Non è la prima volta che il Garante si sofferma sugli obblighi formativi in capo a Titolari e Responsabili. Al contrario, l’importanza della formazione del personale sui temi della protezione dei dati personali emerge trasversalmente dai provvedimenti del Garante, anche in settori diversi da quello sanitario.

La formazione come elemento di accountability

La realizzazione periodica di attività formative rappresenta uno strumento efficace per le organizzazioni al fine di dimostrare concretamente il proprio impegno nel rispetto del principio di accountability. 

Nel recente provvedimento adottato nei confronti di Onda Più S.r.l., il Garante ha sottolineato che la responsabilità generale del Titolare comprende anche l’adozione di procedure e prassi organizzative virtuose, tra le quali devono essere ricompresi anche programmi di formazione del personale.

Si legge in particolare nel provvedimento che, ai sensi del principio di accountability, “il titolare è il soggetto cui è attribuita la “responsabilità generale” del trattamento che egli abbia posto in essere direttamente o che altri abbia effettuato per suo conto, gravando, pertanto, sullo stesso l’onere di attuare un sistema organizzativo e gestionale contraddistinto da misure reali ed efficaci di protezione dei dati nonché comprovabili (…); ciò non soltanto mediante la corretta e puntuale predisposizione degli adempimenti imposti dalla normativa di protezione dei dati (informativa, registro delle attività di trattamento, (…) ecc.), ma soprattutto attraverso l’implementazione di procedure e prassi organizzative atte a conformare i relativi trattamenti al medesimo Regolamento (es. processi di mappatura dei trattamenti; regole per l’attribuzione di responsabilità; programmi di formazione del personale; procedure per la verifica dell’operato dei responsabili designati ai sensi dell’art. 28; previsione di audit interni ed esterni con cadenza periodica ecc. (…)” (provv. n. 476 del 12 ottobre 2023).

La formazione per rimediare o prevenire i data breach

In numerosi casi, a seguito di una violazione dei dati personali (data breach), le organizzazioni intraprendono o intensificano le attività di formazione per dimostrare il proprio impegno per la prevenzione di futuri incidenti: lo svolgimento di attività formative è infatti considerato un segnale concreto dell’impegno per accrescere la consapevolezza e la sensibilità del personale, e quindi rafforzare le misure di sicurezza organizzative.

Un esempio rappresentativo è quello riferito alla ASL Napoli che, a seguito di un attacco informatico, ha programmato una serie di interventi formativi volti a migliorare il proprio livello di compliance e limitare il rischio di ulteriori data breach (provv. n. 426 del 28 settembre 2023).

In particolare, la ASL ha esposto al Garante di aver:

1. programmato un percorso formativo di cinque giornate per i referenti aziendali per la sicurezza delle informazioni;
2. messo a disposizione di tutto il personale una piattaforma FAD, con rilevamento del grado di consapevolezza raggiunto dai discenti;
3. promosso “campagne di phishing simulato per tutto il personale mediante l’utilizzo di strumenti specifici predisposti da un fornitore esterno, con l’obiettivo di valutare il livello di esposizione dell’ente alle minacce veicolate tramite e-mail e aumentare la consapevolezza del personale e, quindi, la robustezza dell’intera ASL”;
4. promosso attività formative di Cyber Security Awareness per workforce operativa che, “tramite tecniche di storytelling, puntano a conferire a tutto il personale dell’Azienda una conoscenza dei concetti e delle best practices afferenti alla sicurezza informatica, con il fine ultimo di mitigare l’esposizione della struttura alle minacce che fanno leva sul fattore umano”.

La formazione come misura prescrittiva

Ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, il Garante può ingiungere alle organizzazioni di conformare i propri trattamenti alle disposizioni del Regolamento; se lo ritiene, l’Autorità può anche indicare i modi e i termini entro cui adempiere. È in forza di tale norma che il Garante può ordinare specificamente ad un’organizzazione di implementare o rafforzare le attività di formazione.

Nel caso di Foodinho S.r.l., ad esempio, il Garante ha ingiunto alla società di individuare, entro 60 giorni, le misure appropriate per tutelare i diritti, le libertà e i legittimi interessi degli interessati. Tra queste misure, il Garante sottolinea la necessità di garantire anche un’adeguata formazione degli operatori (provv. n. 675 del 13 novembre 2024).

L’obbligo formativo non è, in definitiva, solo un adempimento formale. È, al contrario, un indice concreto di compliance e un elemento chiave per ogni organizzazione per il rispetto del principio di accountability previsto dal Regolamento UE 2916/679. La formazione contribuisce inoltre in modo significativo a prevenire data breach e, più in generale, ad evitare violazioni della normativa in materia di protezione dei dati personali.