ARGOMENTO:

L'istruzione ai trattamenti di dati personali da svolgere da parte degli Incaricati non è una questione di tempo ma di caratteristiche e modalità concrete con cui il Titolare decide di provvedervi, se possibile in base ad una preliminare verifica sul grado di conoscenze e competenze dei propri sottoposti. Non c'è né un tempo minimo né un tempo massimo prestabilito: il tempo è quello necessario a che gli Incaricati siano messi in grado di operare con consapevolezza, nel rispetto delle prescrizioni di legge e delle istruzioni/ordini di servizio/direttive/norme interne stabilite dal Titolare stesso. Questo tempo lo decide, ovviamente, il Titolare.
La domanda offre il fianco ad una osservazione supplementare. Non c'è un'istruzione-spot valida una volta per tutte, per non tornarci più sopra. Programmi di istruzione degli Incaricati possono dover essere aggiornati e ripetuti nel tempo, in conseguenza di cambiamenti nell'organizzazione, dell'implementazione di nuove tecnologie, di novità legislative e/o nella normativa di rango secondario. Anche un episodio di violazione dei dati, al quale abbia concorso la negligenza o l'imperizia di alcuni Incaricati, impone verosimilmente al Titolare di tornare ad istruirli con particolare attenzione alla gestione degli ambiti in cui è maturata la violazione.

Dunque nel caso di un insegnante che la riceve e' sufficiente firmare per presa visione e non per accettazione come stanno "imponendo" in molte scuole. Altra domanda chi decide e stabilisce il tempo minimo sufficiente necessario per considerare "istruito" il designato/incaricato ?

Dunque nel caso di un insegnante che la riceve e' sufficiente firmare per presa visione e non per accettazione come stanno "imponendo" altra domanda chi decide il tempo minimo sufficiente necessario per considerare "istruito" il designato/incaricato ?

Come riconoscimento della legittimità delle operazioni di trattamento di dati collegate all´ufficio a cui il dipendente risulta assegnato e alle specifiche delle sue mansioni, è sufficiente consegnare la comunicazione di autorizzazione ad esso, e ovviamente essere in grado di dimostrarlo. Oltre a ciò, occorre che la persona autorizzata al trattamento dei dati personali sia stato debitamente istruita (e quindi formata), nonché aggiornata periodicamente in occasione di cambio mansioni, variazioni normative, etc.

Cordiali saluti
Nicola Bernardi

E quindi mi domando: ai fini di ottemperare alla prescrizione del GDPR in merito agli Addetti al Trattamento sarà sufficiente "recapitare" l'Atto e proseguire con una Formazione Specifica?

Il quesito narra del rifiuto - opposto dai dipendenti di un titolare del trattamento - di firmare, per accettazione, l’autorizzazione al trattamento dei dati e chiede come si deve procedere se un dipendente non accetta di essere incaricato.
Ai fini della soluzione del caso, può citarsi il principio espresso dal Garante per la protezione dei dati nella nota 23 maggio 2000, indirizzata all’Anci (www.garanteprivacy.it, doc. web n. 40229, alla cui lettura integrale si rinvia). L’Autorità di controllo formula le seguenti statuizioni (opportunamente sintetizzate e aggiornate al GDPR):
a) necessità per organismi complessi di designare come autorizzati al trattamento i dipendenti;
b) indispensabilità di tale individuazione, in quanto permette di considerare legittimo il flusso delle informazioni personali nell´ambito degli uffici e tra i dipendenti dell´amministrazione titolare del trattamento.
Sulla base di queste considerazioni, l’Autorità prosegue sottolineando che la designazione ad incaricato del trattamento “non comporta l´attribuzione di particolari compiti o responsabilità in capo al personale, ma costituisce un riconoscimento della legittimità delle operazioni di trattamento di dati collegate all´ufficio a cui il dipendente risulta assegnato e alle specifiche mansioni ad esso attribuite, chiarendo per ogni impiegato quali sono le informazioni cui può avere accesso e rafforzando i già previsti obblighi del segreto d´ufficio”.
Tale constatazione vale anche per gli “autorizzati al trattamento”.
Sulla base di essa si può inequivocabilmente concludere che la autorizzazione al trattamento è un atto di “riconoscimento”, il cui perfezionamento non è subordinato alla espressione di una volontà adesiva da parte del dipendente.