l'Art. 37 del GDPR richiede che "il responsabile della protezione dei dati (DPO) è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati", e se egli possiede le competenze per essere nominato in tale incarico, sarà anche idoneo per svolgere la formazione in prima persona, specialmente perchè questa attività rientra nei suo compiti che gli sono assegnati dall'art. 39 del Regolamento UE, che infatti gli assegna la respnsabilità della "sensibilizzazione e la formazione del personale che partecipa ai trattamenti". Spetta poi a lei decidere in base alla configurazione del rapporto tra lei e il titolare del trattamento se e in che forma rilasciare eventualmente degli attestati di partecipazione, tuttavia quello che è fondamentale è documentare l'avvenuto svolgimento della formazione e del relativo aggiornamento periodico anche tramite verbali/registri presenze/etc., così da poter essere in grado di comprovare che gli autorizzato sono stati istruiti come previsto dall'art.29 del GDPR.
Cordiali saluti
Nicola Bernardi