I mercoledì della privacy: la formazione privacy per l'amministratore significa anche informazione continua

Per comprendere in cosa consista la formazione in ambito privacy, occorre in primis esaminare quanto riportava il Gruppo di lavoro ex 29 (ora sciolto), nel parere numero 3/2010, che aveva individuato tra le misure comuni da adottare al fine di evitare le sanzioni e le azioni di responsabilità «un'adeguata formazione ed istruzione del personale in materia di protezione dei dati. Il personale in questione dovrebbe includere gli incaricati (o responsabili) del trattamento dei dati personali».

Si specificava inoltre che: «il responsabile del trattamento... non può trattare tali dati se non è istruito in tal senso dal titolare del trattamento». In ambito condominiale titolare del trattamento è il condominio mentre l'amministratore può rivestire il ruolo di titolare o responsabile del trattamento a seconda se riceva o meno la relativa nomina.Laddove venisse inquadrato responsabile, l'articolo 28 che ne sancisce la disciplina, determina che: «...qualora un trattamento debba essere effettuato per conto del titolare del trattamento, quest'ultimo ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell'interessato...».

Collegato all'articolo 28, nel Gdpr, troviamo il Considerando 81 che, a sua volta sancisce: «...il titolare del trattamento dovrebbe ricorrere unicamente a responsabili del trattamento che presentino garanzie sufficienti, in particolare in termini di conoscenza specialistica...». L'articolo 24 Gdpr, nel determinare la necessità di adottare misure tecniche ed organizzative adeguate, specifica che: «Dette misure sono riesaminate e aggiornate qualora necessario tenuto conto della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche».

Ma nel Regolamento Ue 16/679 ritroviamo veri e propri obblighi formativi nell'articolo 39.1.b, il quale prevede, tra i compiti del Responsabile della protezione dei dati quello di: «sorvegliare l'osservanza […] delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi […] la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo». Ancora, l'articolo 32, rubricato «Sicurezza del trattamento», al paragrafo 4, prevede come: «il titolare del trattamento ed il responsabile del trattamento fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell'Unione o degli Stati membri».

La formazione è, quindi, un prerequisito per poter eseguire la gestione dei dati in qualunque realtà compresa quella del condomino, sia per l'amministratore, per i suoi dipendenti/collaboratori e anche per i fornitori del condominio e dello stesso studio di amministrazione.  A tal proposito l'articolo 32 Gdpr, al paragrafo 4, ricorda che: «il titolare del trattamento ed il responsabile del trattamento fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell'Unione o degli Stati membri».

Così, il «corso di formazione sulla privacy» dovrebbe calarsi nella specifica attività che si va a svolgere, non potendo considerarsi quindi sufficiente un mero corso sul Gdpr, ma rendendosi necessaria la partecipazione ad un corso specifico che abbia come tema l'applicazione della privacy in ambito condominiale.

Per di più l’adempimento degli obblighi formativi è oggetto anche di accertamenti ispettivi da parte dell'Autorità garante privacy mediante il suo braccio operativo (Nucleo speciale privacy della Guardia di finanza), che richiede in sede ispettiva la verifica del programma ed il piano di formazione, le dispense, i materiali erogati e il test finale. È una misura essenziale al fine di garantire un livello di sicurezza adeguato a garanzia dei condòmini che rivestono il duplice ruolo di interessati ma anche titolari del trattamento.

Adempiere all'obbligo di formazione, significa dimostrare di aver ottemperato al principio di accountability.Da ultimo, si evidenzia come, in ossequio a quanto disposto dal Considerando 81 Gdpr e all'obbligo ivi riportato di prestare la garanzia della «conoscenza specialistica», occorre sottolineare come questa non possa considerarsi rientrante all'interno della formazione specifica inquadrata per l'amministratore nel Dm 140/14. Occorrerà partecipare a corsi annuali, aggiornarsi in maniera continuativa adempiendo così all'obbligo di formazione e informazione specifica.