Immagina di ricevere una visita ispettiva del Garante. I funzionari chiedono di vedere il piano formativo sulla privacy, gli attestati dei dipendenti, i materiali erogati, i test finali. Nella maggior parte delle PMI italiane, in quel momento, scatta il panico. Non perché manchino le informative o il registro dei trattamenti, ma perché la formazione del personale è uno degli adempimenti che si rimanda sempre: sembra meno urgente di tutto il resto e raramente finisce in cima alla lista delle priorità.

Eppure è un obbligo di legge previsto dall’art. 29 del Regolamento UE 2016/679, applicabile a qualsiasi azienda o ente che tratta dati personali, indipendentemente dalle dimensioni, con conseguenze concrete in caso di inadempienza.

Cosa dice il GDPR sulla formazione del personale

Il Regolamento UE 2016/679 è esplicito sul punto.
L’art. 29 stabilisce che chiunque abbia accesso a informazioni personali di clienti, dipendenti o fornitori e operi sotto la direzione del titolare del trattamento non può gestirle se non ha ricevuto istruzioni precise su come farlo. In pratica: se un dipendente tratta dati personali senza essere stato formato, l’azienda sta già violando il Regolamento, a prescindere da qualsiasi altra documentazione abbia predisposto.

L’art. 32, dedicato alla sicurezza del trattamento, va nella stessa direzione: tra le misure concrete che un’azienda deve adottare per proteggere i dati che gestisce rientra esplicitamente la formazione del personale. Il livello di approfondimento dipende dal contesto: chi lavora con cartelle cliniche o informazioni finanziarie ha esigenze diverse da chi gestisce solo una rubrica contatti, ma in entrambi i casi l’obbligo esiste.

L’art. 39 del Regolamento UE 2016/679 assegna, inoltre, al DPO, dove presente, il compito specifico di sorvegliare su questo obbligo per tutto il personale che gestisce dati per conto dell’azienda. Non si tratta di un adempimento da spuntare a fine anno: è una misura di sicurezza a tutti gli effetti.

Chi deve fare la formazione e con quale frequenza

La formazione riguarda tutti i soggetti che, nell’esercizio delle loro funzioni, entrano in contatto con dati personali: dipendenti, collaboratori, stagisti e chiunque operi sotto la direzione del titolare o del responsabile del trattamento. La platea è più ampia di quanto si pensi: include il commerciale che gestisce i contatti dei clienti nel CRM, l’amministrativo che elabora le buste paga, il magazziniere che accede al gestionale, il receptionist che raccoglie i dati dei visitatori.

La frequenza degli aggiornamenti è una valutazione che spetta al titolare, sulla base dei trattamenti effettuati e dei rischi specifici dell’azienda. Per la maggior parte delle PMI, un aggiornamento annuale è un punto di partenza ragionevole. Ogni volta che cambiano i processi, i sistemi o i ruoli, i contenuti vanno comunque rivisti, indipendentemente dalla cadenza scelta.

C’è però un aspetto che pesa in caso di controllo: l’obbligo è retroattivo. Se in sede ispettiva il Garante verifica la situazione dell’anno precedente e il piano formativo non è stato erogato, la sanzione scatta su quel periodo, indipendentemente dal fatto che nel frattempo l’azienda si sia messa in regola.
Per questo iniziare prima possibile è la scelta più sensata: ogni anno di formazione documentata è un anno in cui l’azienda ha operato in modo conforme.

Quando si applica concretamente: i momenti chiave

La formazione va gestita come un processo continuo e ci sono momenti precisi in cui diventa prioritaria.

Il primo è l’ingresso di un nuovo dipendente o collaboratore. Prima di accedere a qualsiasi dato personale, il nuovo arrivato deve aver già ricevuto le istruzioni necessarie.

Il secondo è l’introduzione di nuovi strumenti o processi che trattano dati personali. Un nuovo CRM, una piattaforma di gestione delle presenze, un sistema di videosorveglianza: ogni volta che cambia qualcosa nel modo in cui l’azienda raccoglie o gestisce informazioni, chi ci lavora va aggiornato sul nuovo contesto

Il terzo è l’aggiornamento annuale. Le regole cambiano, i rischi evolvono, le abitudini si incrostano. Un corso fatto tre anni fa non copre le minacce e le normative di oggi.

Cosa deve contenere un piano formativo adeguato

Un piano formativo deve essere calibrato sulla realtà specifica dell’azienda: i trattamenti effettuati, i ruoli coinvolti, i rischi concreti a cui il personale è esposto. Il Garante, in sede ispettiva, valuta non solo se la formazione c’è stata, ma anche se era pertinente rispetto a quello che l’azienda fa davvero.

I contenuti minimi che il Garante si aspetta, comunque, di trovare coprono diversi ambiti. I principi fondamentali del GDPR applicati al contesto dell’azienda, i diritti degli interessati e come gestire le richieste di accesso o cancellazione, le misure di sicurezza operative adottate, le procedure da seguire in caso di violazione dei dati. A questo si aggiungono le istruzioni operative specifiche per ciascun ruolo: cosa può fare il commerciale con i dati dei clienti, come deve comportarsi l’amministrativo con le buste paga, cosa è vietato a chiunque, come condividere credenziali o inviare documenti sensibili su canali non protetti.

Il piano formativo può essere erogato in presenza, tramite moduli e-learning o con affiancamento operativo. Quello che conta è che tutto sia documentato: attestati di partecipazione, test di verifica, registro delle sessioni con data e partecipanti. Dal punto di vista del Garante, un percorso privo di documentazione è come se non fosse mai avvenuto.

Cosa succede concretamente: un caso reale e uno scenario tipico

Il caso Tecnomed Trento: quando il Garante trova il personale non istruito

Nel 2022 il Garante per la protezione dei dati personali ha sanzionato Tecnomed Trento s.r.l. con 10.000 euro a seguito di un’ispezione condotta dal Nucleo speciale tutela privacy e frodi tecnologiche della Guardia di Finanza. Tra le violazioni accertate figurava esplicitamente il fatto che i soggetti deputati alla visione delle immagini del sistema di videosorveglianza non erano stati opportunamente istruiti al riguardo, in violazione dell’art. 29 del Regolamento UE 2016/679 (Ordinanza ingiunzione nei confronti di Tecnomed Trento s.r.l., 7 aprile 2022, doc. web n. 9823195).

Il caso è istruttivo per due ragioni.
La prima: la violazione è emersa durante un’ispezione ordinaria, non a seguito di una segnalazione o di un incidente. Il Garante controlla, e tra le cose che verifica c’è esattamente la formazione del personale.
La seconda: non si trattava di una grande azienda. Era una società di medie dimensioni, operante nel settore sanitario, che probabilmente riteneva di aver fatto le cose per bene. La mancata istruzione del personale è stata sufficiente per determinare una sanzione e la pubblicazione del provvedimento sul sito del Garante, con tutto quello che questo comporta in termini di reputazione.

(Fonte: Provvedimento originale)

Sanzione per mancanza di formazione

Uno scenario ricorrente: la PMI con la documentazione in ordine ma il personale non formato

Quello che segue è uno scenario basato su situazioni ricorrenti nella consulenza privacy.
Una PMI del settore manifatturiero ha adeguato la documentazione GDPR tre anni fa: informative, registro dei trattamenti, nomine dei responsabili. Tutto in ordine sulla carta. Nel frattempo, il personale è cambiato in parte, sono stati introdotti nuovi strumenti digitali e nessuno ha mai organizzato una sessione formativa.

Un dipendente riceve un’email apparentemente interna con la richiesta di inviare urgentemente un file con i dati retributivi di alcuni colleghi. La manda, senza verificare. È un attacco di phishing. I dati vengono esfiltrati. L’azienda è obbligata a notificare il data breach al Garante entro 72 ore.

Nel corso dell’istruttoria, emerge che nessun dipendente aveva mai ricevuto formazione su come riconoscere le email sospette o su come gestire richieste insolite di dati. La documentazione era in ordine, ma il personale operava senza istruzioni.  Il titolare risponde sia per la violazione dei dati che per la mancata formazione del personale che ha reso possibile l’incidente.

Questo scenario si ripete con varianti in decine di aziende ogni anno.
Il Verizon Data Breach Investigations Report documenta costantemente che errori e comportamenti del personale sono coinvolti nella grande maggioranza delle violazioni di dati. La formazione non elimina il rischio, ma lo riduce in modo misurabile e, soprattutto, dimostra che il titolare ha adottato misure adeguate.

Quando la mancanza di formazione diventa rischio

Le conseguenze della mancata formazione del personale

Chi non forma il personale rischia sanzioni fino a 10 milioni di euro o al 2% del fatturato mondiale annuo, previste dall’art. 83, par. 4 del Regolamento UE 2016/679. L’importo effettivo dipende da una serie di parametri che il Garante valuta caso per caso: la gravità e la durata della violazione, il numero di interessati coinvolti, le misure adottate per mitigare il danno e il grado di cooperazione con l’autorità. Per una PMI la cifra sarà proporzionata alle dimensioni aziendali, ma il rischio economico è solo uno degli aspetti da considerare.

Se la mancanza di un piano formativo ha reso possibile un data breach, le conseguenze si moltiplicano: si aggiungono la sanzione per la violazione dei dati, quella per le misure di sicurezza inadeguate, i costi di gestione dell’incidente e i danni reputazionali. Tutto riconducibile, almeno in parte, a un adempimento mai realizzato.

C’è poi un aspetto che riguarda i rapporti commerciali. Clienti e partner di dimensioni maggiori verificano sempre più spesso che i loro fornitori rispettino il GDPR, inclusa la formazione del personale. Un’azienda che non può dimostrarlo rischia di perdere contratti, prima ancora che arrivi un controllo.

Chi si occupa della formazione privacy in azienda

La responsabilità di organizzare e garantire la formazione è sempre del titolare del trattamento, cioè dell’azienda. Non può essere delegata in modo assoluto, ma nella pratica chi se ne occupa concretamente dipende dalla struttura aziendale.

Nelle realtà dotate di un DPO interno, cioè una figura assunta e dedicata alla protezione dei dati, è quest’ultimo a progettare il piano formativo, sorvegliarne l’attuazione e verificarne l’efficacia nel tempo, come previsto dall’art. 39 del Regolamento UE 2016/679.

Nelle PMI, che raramente hanno questa figura in organico, il piano formativo viene affidato a un consulente privacy esterno o a un DPO esterno. Si tratta di un professionista specializzato che l’azienda ingaggia senza assumere, spesso nell’ambito di un rapporto di consulenza più ampio che include anche gli altri adempimenti GDPR. Progetta i contenuti sulla base dei trattamenti effettuati dall’azienda, li eroga nelle modalità più adatte al contesto e si occupa di tutta la documentazione necessaria: attestati, test di verifica, registro delle sessioni.

Per una PMI è la soluzione più efficace: un professionista aggiornato sulle normative vigenti, che conosce i rischi specifici del settore e che in caso di ispezione può dimostrare al Garante che la formazione è stata fatta, è adeguata e documentata.

Da dove iniziare

Se la tua azienda non ha ancora un piano formativo strutturato, il primo passo è capire chi tratta dati personali e in che modo. Da quella mappatura emergono i ruoli da formare, i contenuti necessari e la frequenza degli aggiornamenti. Il piano va mantenuto nel tempo, aggiornato quando cambiano i sistemi o le persone, e documentato in modo che regga a una verifica del Garante.

Chi ha già fatto formazione in passato ma non conserva attestati, registri o materiali, è nella stessa posizione di chi non l’ha mai fatta: dal punto di vista del Garante, senza documentazione non c’è prova. Meglio rimediare prima che arrivi un controllo.

Se hai dubbi su aspetti specifici, trovi le risposte alle domande più frequenti qui sotto.

Domande frequenti

La formazione GDPR è obbligatoria per tutti i dipendenti?
È obbligatoria per tutti i soggetti che, nell’esercizio delle loro funzioni, trattano dati personali sotto l’autorità del titolare o del responsabile del trattamento. Nella pratica, questo include la grande maggioranza dei dipendenti di qualsiasi azienda, dagli amministrativi al personale commerciale, dai responsabili IT a chi gestisce i rapporti con fornitori e clienti. Lo stabilisce l’art. 29 del Regolamento UE 2016/679.

Con quale frequenza va rinnovata la formazione privacy?
Il Regolamento non fissa una cadenza precisa, ma la prassi consolidata e i provvedimenti del Garante indicano la formazione annuale come riferimento minimo. Va inoltre aggiornata ogni volta che cambiano i processi, i sistemi o i ruoli che comportano trattamento di dati personali, e sempre in occasione dell’ingresso di nuovi dipendenti o collaboratori.

Cosa rischio se non formo il personale?
Le violazioni degli obblighi formativi sono soggette alle sanzioni previste dall’art. 83, par. 4 del Regolamento UE 2016/679, fino a 10 milioni di euro o al 2% del fatturato mondiale annuo. Oltre alla sanzione diretta, la mancata formazione può aggravare le conseguenze di un data breach, dimostrando che il titolare non ha adottato misure di sicurezza adeguate. L’obbligo è verificato dal Garante in sede ispettiva.

Un corso online generico sul GDPR è sufficiente?
Un corso generico può coprire le nozioni di base, ma un piano formativo adeguato deve essere calibrato sulla realtà specifica dell’azienda: i trattamenti effettuati, i rischi concreti, i comportamenti operativi richiesti a ciascun ruolo. Il Garante in sede ispettiva valuta non solo l’esistenza di una formazione, ma anche la sua adeguatezza rispetto al contesto aziendale.

Come si documenta la formazione per dimostrare la conformità?
Con attestati di partecipazione, test di verifica del livello di apprendimento, registro delle sessioni erogate con data, contenuti e partecipanti. La documentazione deve essere conservata e disponibile in caso di ispezione.  Il Garante non riconosce formazione che non sia dimostrabile: se non c’è traccia scritta, non c’è formazione.

La formazione privacy rientra nei compiti del DPO?
Sì. L’art. 39, par. 1, lett. b) del Regolamento UE 2016/679 assegna al DPO il compito di sorvegliare sull’osservanza del Regolamento, inclusa la formazione del personale che gestisce dati personali per conto dell’azienda. Nelle aziende che si avvalgono di un DPO esterno, questo compito viene normalmente svolto nell’ambito del contratto di servizio, con la progettazione e l’eventuale erogazione diretta dei percorsi formativi.

Cosa succede se un dipendente causa un data breach per mancanza di formazione?
La responsabilità rimane in capo al titolare del trattamento.Il GDPR non prevede attenuanti legate al comportamento del singolo dipendente: se il personale non era stato adeguatamente formato, il titolare non ha adottato le misure di sicurezza richieste dall’art. 32 del Regolamento UE 2016/679. Questo aggrava la posizione dell’azienda sia sul piano delle sanzioni amministrative che su quello della responsabilità civile verso gli interessati.


Chiedi un preventivo per il tuo piano formativo privacy personalizzato.
Progettiamo percorsi su misura per la tua azienda, calibrati sui trattamenti che effettui e sui ruoli del tuo personale.

Contattaci per una prima consulenza gratuita.