Sono esempi di dati personali quelli raccolti tramite form sul proprio sito web o in occasione di eventi, i dati di traffico e navigazione tracciati dal proprio sito internet e social network, l’utilizzo di email marketing o della geolocalizzazione degli utenti, l’uso della videosoveglianza, l’accesso in azienda tramite dati biometrici (lettori di impronte digitali, riconoscimento facciale, etc.), la registrazione dei visitatori all’ingresso nella propria azienda in occasione delle visite, i dati dei propri clienti necessari alla fatturazione o i dati dei propri dipendenti per la redazione di contratti di lavoro e l’elaborazione di buste paga, le bolle e fatture gestite dal magazzino e dall’amministrazione, le cartelle cliniche durante i ricoveri ospedalieri e molto altro.

Gli incaricati e i responsabili del trattamento devono essere formati sulla corretta gestione dei dati personali trattati affinché possa essere garantita la tutela degli interessati. Lo scopo del corso, conforme al Regolamento Europeo 679/2016 (in sostituzione del D.Lgs 196/03), è garantire loro le basi fondamentali in termini di normativa e allo stesso tempo i comportamenti da tenere sul lavoro in modo da tutelare le informazioni e garantire la loro sicurezza.

Viene considerato incaricato, ovvero “autorizzato” al trattamento dati la persona che effettua operazioni in presenza di dati personali, sotto l’autorità del titolare o dell’eventuale responsabile. In base alla mansione svolta un lavoratore può avere più o meno accesso ai dati e dunque esistono diversi livelli di delega e responsabilità. Per trattamento si considera anche la semplice presa visione, per questo spesso il corso GDPR coinvolge la quasi totalità dei lavoratori. Può essere, inoltre, che gli incaricati siano persone esterne all’azienda, come liberi professionisti, consulenti o aziende che forniscono servizi che comportano il trattamento di dati, come ad esempio chi si occupa dell’elaborazione buste paga, della fatturazione e contabilità, dell’assistenza informatica.

Non è obbligatoria una nomina effettiva dell’incaricato, secondo il regolamento europeo, ma è comunque possibile da parte dell’azienda. Solitamente tale nomina avviene tramite un documento scritto, di cui l’incaricato deve prendere visione e in seguito alla quale dovrà rispettare rigorosamente le istruzioni ricevute. L’addetto non può, infatti, agire in autonomia ma semplicemente eseguire dei compiti. Se è necessaria autonomia nella gestione dei dati, se la mole dei dati stessi è considerevole o si è in presenza di dati delicati e critici, è consigliabile designare un responsabile.

Consigliamo alle aziende di non sottovalutare il corso formazione GDPR, in quanto le eventuali violazioni degli obblighi di formazione privacy prevedono sanzioni amministrative e pecuniarie fino a 10 milioni di euro o pari al 2% del fatturato e che, oltre a ciò, anche il non corretto trattamento dei dati comporta sanzioni molto ingenti.