Angelantonio Cafagno

Consulenza Informatica e Tecnologica per lo Iscrizione n. 2936

Sviluppo e l’Organizzazione dei Sistemi Aziendali

ai sensi della LEGGE 14 gennaio 2013 , n. 4

Formazione obbligatoria in materia di GDPR 
La previsione di eventi formativi diretti al personale dipendente delle PP.AA., nella fattispecie considerate 
come Titolari di Trattamento, concorre a concretizzare il principio di “accountability”, ossia di 
responsabilizzazione, previsto dal Regolamento UE 679/2016 e che ricade sul Titolare del trattamento, il 
quale deve dare di conto e documentare l’intera attività tesa a conseguire la compliance con la nuova 
norma in materia di protezione dei dati personali. 
E' responsabilità del titolare, infatti, dimostrare che il trattamento dei dati effettuato sia lecito, corretto, 
trasparente, pertinente, adeguato, legittimo e che siano, oltre al resto, rispettati i principi di 
minimizzazione, di conservazione dei dati e siano previste misure di sicurezza adeguate: i dipendenti, e gli 
eventuali collaboratori, potranno, infatti, trattare i dati solo se autorizzati ed entro i limiti delle istruzioni 
impartite dal Titolare. 
La formazione dei dipendenti costituisce, essa stessa, una misura essenziale al fine di garantire un livello di 
sicurezza adeguato a garanzia del medesimo Titolare del Trattamento. 
La centralità della formazione è confermata anche dalla lettura del testo normativo. 
L’art. 32 “Sicurezza del trattamento”, al paragrafo 4, statuisce che “Il titolare del trattamento e il 
responsabile del trattamento fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a dati 
personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento”. 
L’art. 29 del regolamento prevede che “Il responsabile del trattamento, o chiunque agisca sotto la sua 
autorità o sotto quella del titolare del trattamento, che abbia accesso a dati personali non può trattare tali 
dati se non è istruito in tal senso dal titolare del trattamento”. 
Il gruppo di lavoro WP 29, nella redazione del Parere n. 3/2010, aveva individuato tra le misure comuni 
concernenti la responsabilità la esecuzione, da parte del titolare del trattamento e del responsabile del 
trattamento, di una attività di “adeguata formazione e istruzione del personale in materia di protezione 
dei dati”. 
Il data protection officer, figura obbligatoria nelle pubbliche amministrazioni e organo di presidio e di 
controllo deve anch’esso, ai sensi dell’art. 39 del Regolamento, occuparsi della “sensibilizzazione e 
formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo”. 
La previsione di tale compito a carico del DPO costituisce un ulteriore elemento di garanzia della centralità 
della formazione, che potrà, nella logica del Regolamento, essere anche oggetto di specifici audit. 
E' evidente come la formazione costituisca un prerequisito per potere operare all’interno delle 
organizzazioni (imprese e/o pubbliche amministrazioni). Alla luce dell’impianto del Regolamento, la stessa 
formazione deve presentare un taglio interdisciplinare (con contenuti di natura informatica, giuridica e 
relativa ai profili organizzativi dell’Ente) e pragmatico (come si evince dal termine “istruito”, notato sia 
all’art. 29 sia all'art. 32 del Regolamento) e deve riguardare tutti i soggetti. 
La formazione sarà finalizzata a illustrare i rischi generali e specifici dei trattamenti di dati, le misure 
organizzative, tecniche e informatiche adottate, nonché le responsabilità e le sanzioni. 

Sede: Via Monache Benedettine Olivetane, 14/b – 70026 Modugno (BA)

 0802372901 tel&fax – GSM 3476283413 – E-Fax & Casella Vocale: 1786060725
URL: www.cafagnoconsultant.it - E-mail: info@cafagnoconsultant.it - Skype angelantonio.cafagno

Codice Fiscale CFG NLN 62C13 A662H Partita I.V.A. 08081020722

L’obbligo formativo non deve essere sottovalutato: nel caso di mancata erogazione della formazione l'Ente 
sarebbe assoggettabile, ai sensi dell’art. 83 par 4 del Regolamento europeo, a una rilevante sanzione 
amministrativa pecuniaria, il cui massimo edittale è fissato in 10 milioni di euro. 
L’adempimento degli obblighi formativi è sovente oggetto di accertamenti ispettivi da parte dell’Autorità 
Garante privacy per il tramite di funzionari della Guardia di Finanza; in diversi casi, in sede ispettiva, il 
Garante ha chiesto di acquisire i piani di formazione, le dispense, i materiali erogati, il test finale e ha 
analizzato il profilo delle istruzioni agli incaricati al trattamento connesse all’accesso, alla consultazione 
delle banche dati, i livelli di autorizzazione e policy aziendali (per esempio in materia di password aziendali 
e di videosorveglianza). 
La formazione costituisce, pertanto, una misura di sicurezza per le organizzazioni, un onere a carico del 
titolare, un diritto e dovere per i dipendenti e i collaboratori. 
Consegue che gli Enti pubblici devono: 
– pianificare un percorso e un piano di formazione; 
– accantonare adeguate risorse in sede di approvazione di bilancio, al fine di garantire l'esecuzione 
del piano formativo; 
– prevedere prove finali nel percorso formativo, e sessioni di aggiornamento, anche alla luce delle 
modifiche normative, organizzative e tecniche; 
– individuare un percorso formativo alternativo, in caso di mancato superamento del test finale, e un 
nuovo esame di verifica. 
Nella progettazione dei corsi di formazione, occorre esaminare e individuare: i fabbisogni formativi, la 
struttura dell’Ente, i profili organizzativi, il target, i prerequisiti, le finalità generali e specifiche di ciascuna 
sessione formativa, nonché le relative modalità di erogazione. 
Potrebbe risultare utile, se non necessario, stabilire aree di priorità di intervento, a titolo esemplificativo 
ma non esaustivo le figure apicali, gli amministratori di sistema, i nuovi assunti ovvero le persone 
autorizzate al trattamento (art. 4, c. 10): queste ultime figure corrispondono sostanzialmente alle figure 
degli “incaricati al trattamento” (previste nel D.Lgs. 196/2003), e sono individuati, sostanzialmente, in tutti 
coloro i quali trattano dati personali; tra le altre cose, tali soggetti dovranno essere appositamente 
designati mediante una comunicazione formale di designazione, contenete le istruzioni sui trattamenti che 
questi soggetti dovranno svolgere. 
Nel corso dell’atività formativa si deve mirare a fornire utili strumenti a tutti i soggetti rappresentanti il 
Titolare del trattamento per l’adeguamento delle rispettive organizzazioni, e potrebbero essere affrontati i 
temi di seguito elencati: 
 Quadro normativo (Comunitario e Nazionale) 
 Definizioni e concetti principali 
 Soggetti 
 Il DPO 
 Condizioni di liceità del trattamento 
 Informativa e Registro dei trattamenti 
 Diritti degli interessati 
 Autorità Garante e Sanzioni 
      Angelantonio Cafagno 
         [Senior Consultant] 
   

Angelantonio Cafagno
Via Monache Benedettine Olivetane, 14/b – 70026 Modugno (BA)
0802372901 tel&fax – GSM 3476283413 – E-Fax & Casella Vocale: 1786060725
URL: www.cafagnoconsultant.it - E-mail: info@cafagnoconsultant.it - Skype angelantonio.cafagno
Quest'opera è distribuita con licenza

CREATIVE COMMON
ATTRIBUTION-SHAREALIKE 4.0
INTERNATIONAL

(CC BY-SA 4.0)

Tu sei libero di:

 Condividere — riprodurre, distribuire, comunicare al pubblico, esporre in pubblico, rappresentare, eseguire e
recitare questo materiale con qualsiasi mezzo e formato
 Modificare — remixare, trasformare il materiale e basarti su di esso per le tue opere per qualsiasi fine, anche
commerciale.

 Il licenziante non può revocare questi diritti fintanto che tu rispetti i termini della licenza.

Alle seguenti condizioni:

 Attribuzione — Devi riconoscere una menzione di paternità adeguata, fornire un link alla licenza e indicare se
sono state effettuate delle modifiche. Puoi fare ciò in qualsiasi maniera ragionevole possibile, ma non con
modalità tali da suggerire che il licenziante avalli te o il tuo utilizzo del materiale.
 StessaLicenza — Se remixi, trasformi il materiale o ti basi su di esso, devi distribuire i tuoi contributi con la
stessa licenza del materiale originario.
 Divieto di restrizioni aggiuntive — Non puoi applicare termini legali o misure tecnologiche che impongano
ad altri soggetti dei vincoli giuridici su quanto la licenza consente loro di fare.

Note:
 Non sei tenuto a rispettare i termini della licenza per quelle componenti del materiale che siano in pubblico
dominio o nei casi in cui il tuo utilizzo sia consentito da una eccezione o limitazione prevista dalla legge.
 Non sono fornite garanzie. La licenza può non conferirti tutte le autorizzazioni necessarie per l'utilizzo che ti
prefiggi. Ad esempio, diritti di terzi come i diritti all'immagine, alla riservatezza e i diritti morali potrebbero
restringere gli usi che ti prefiggi sul materiale.

Angelantonio Cafagno
Via Monache Benedettine Olivetane, 14/b – 70026 Modugno (BA)
 0802372901 tel&fax – GSM 3476283413 – E-Fax & Casella Vocale: 1786060725
URL: www.cafagnoconsultant.it - E-mail: info@cafagnoconsultant.it - Skype angelantonio.cafagno