Il Regolamento Generale sulla Protezione dei Dati, GDPR UE 2016/679, prevede che chiunque in azienda tratta dati personali (rileva presenze, prepara i turni di lavoro, elabora e paga gli stipendi, invia comunicazioni via mail, ecc.), deve essere adeguatamente istruito.
Il Regolamento lascia alle valutazioni del Titolare ogni scelta in merito ai tempi e alle modalità di effettuazione della formazione strutturata del personale addetto al trattamento dei dati personali; valutazioni che, tenendo conto della natura dei dati trattati e del rischio connesso alle attività di trattamento, dovrebbero condurre alla scelta delle modalità di fruizione (aula tradizionale, aula virtuale, corso on line, webinar, ecc), della durata (in termini di numero di sessioni, ore per sessione), di organizzazione dell’aula (numero massimo di partecipanti, omogeneità di mansioni, ecc.).
Nelle lettere di autorizzazione al trattamento, che è opportuno produrre in fase di adeguamento al GDPR, è perciò necessario prevedere la presenza di un’ampia sezione dedicata all’istruzione degli addetti. Tuttavia, ciò non è sufficiente e, tenendo conto del principio enunciato dal GDPR di totale responsabilizzazione del titolare, viste anche le prescrizioni dell’art. 32 – Sicurezza dei trattamenti, appare indispensabile formare adeguatamente in materia di privacy tutto il personale che ha accesso ai dati personali, in virtù della propria mansione.
Lo specifico obbligo di formazione, ai sensi dell’articolato della Sezione 4 del GDPR, si desume in particolare per le aziende che sono obbligate a nominare il DPO, ovvero:
a) se il trattamento è svolto da un’autorità pubblica o da un organismo pubblico, con l’eccezione delle autorità giudiziarie nell’esercizio delle funzioni giurisdizionali; oppure
b) se le attività principali del titolare o del responsabile consistono in trattamenti che richiedono il monitoraggio regolare e sistematico di interessati su larga scala; oppure
c) se le attività principali del titolare o del responsabile consistono nel trattamento su larga scala di categorie particolari di dati o di dati personali relativi a condanne penali e reati;
dalla lettura dei compiti del DPO enunciati dall’articolo 39 del GDPR:
articolo 39. Compiti del responsabile della protezione dei dati (C97) Paragrafo 1. Il responsabile della protezione dei dati (RPD o DPO) è incaricato almeno dei seguenti compiti: a) informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal presente regolamento nonché da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati;
lettera b) sorvegliare l’osservanza del presente regolamento, di altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;
Poiché gli operatori della GDO che propongono l’adesione a programmi di fidelizzazione (Carte Fedeltà) rientrano generalmente nella tipologia di cui al punto b) dei soggetti obbligati a nominare il DPO, obbligo ribadito dall’Autorità Garante nelle sue FAQ sul DPO, è evidente come l’operatore GDO sia soggetto a tale obbligo, dal quale deriva senza dubbio anche l’obbligo di formazione di coloro che hanno accesso ai dati personali o, più precisamente come specificato dall’art. 39, del “personale che partecipa ai trattamenti e alle connesse attività di controllo”.
L’operatore GDO dovrà perciò prevedere specifici interventi di formazione per tutti i soggetti che trattano dati personali, particolarmente mirati per coloro che svolgono le proprie attività a diretto contatto con i consumatori, e che perciò devono essere adeguatamente preparati per rispettare i delicati princìpi di “liceità, correttezza e trasparenza” richiesti dall’art.5 del GDPR, sia in back office (addetti all’amministrazione, operatori marketing, addetti HR, buyer…) che in front office, vale a dire per tutto il personale operativo che nei punti vendita svolge mansioni di direzione, di addetto al punto informativo, di addetto cassa.
Il personale che svolge le proprie mansioni nei punti vendita, compresi gli addetti alle casse, ha infatti spesso la necessità di accedere ai dati personali dei clienti possessori di carta fedeltà per controlli e verifiche sui punti attribuiti, per emettere duplicati, per trasferire o riassegnare punti accumulati, per verificare la regolarità di alcuni tipi di reso, nonchè il compito di informare dovutamente gli interessati.
Si tratta in ogni caso di attività di trattamento, anche se non particolarmente complesse, che richiedono attenzione e consapevolezza da parte di chi le effettua, attenzione e consapevolezza che non possono prescindere da un adeguato intervento di formazione.