Il presente articolo riguarda il Regolamento generale sulla protezione dei dati (UE 2016/679 General Data Protection Regulament GDPR), dell’Unione Europea che mira a tutelare la privacy e i diritti degli individui nei confronti del trattamento dei propri dati personali, e le ricadute che tale legge ha sulle aziende che offrono corsi aziendali in merito alla salute e sicurezza negli ambienti di lavoro (corsi base lavoratori, corsi addetti antincendio, corsi addetti primo soccorso, ecc.). In particolare è importante quanto previsto nell’articolo 15 del GDPR in merito al diritto di accesso dell’interessato.
Secondo l’Articolo 15, il titolare del trattamento dei dati (cioè il Datore di Lavoro, che ha l’obbligo di formazione di tutti i suoi lavoratori) è tenuto a fornire una copia dei dati personali oggetto di trattamento all’interessato (ovvero al lavoratore/corsista) che ne fa richiesta. Nel caso in cui l’interessato richieda ulteriori copie, il titolare del trattamento può addebitare un contributo spese ragionevole basato sui costi amministrativi. È importante notare che, se la richiesta viene presentata tramite mezzi elettronici, le informazioni devono essere fornite in un formato elettronico di uso comune, a meno che l’interessato non indichi diversamente.
Altro elemento importante è il contenuto dell’articolo 77 del GDPR. Esso prevede il diritto di proporre reclamo all’autorità di controllo. In pratica, un discente di un corso di formazione che ritiene che il trattamento dei suoi dati personali violi il GDPR ha il diritto di presentare un reclamo a un’autorità di controllo competente, in particolare nello Stato membro in cui risiede abitualmente, lavora o dove si è verificata la presunta violazione. Questo diritto di reclamo costituisce una via per far valere i propri diritti e quindi garantire che il GDPR sia rispettato.
Avendo chiarito i diritti degli interessati sanciti dal GDPR, è importante a questo punto sottolineare le conseguenze che derivano dalla non ottemperanza a tali norme. L’articolo 82 del GDPR stabilisce che chiunque subisca un danno materiale o immateriale causato da una violazione del regolamento ha il diritto di ottenere il risarcimento del danno dal titolare o dal responsabile del trattamento dei dati (ente erogante). Inoltre, l’articolo 83 del GDPR definisce le condizioni generali per infliggere sanzioni amministrative pecuniarie, tra cui una violazione dei diritti dei discenti come disciplinati negli articoli dal 12 al 22 del GDPR, che può comportare sanzioni amministrative fino a 20 milioni di euro o fino al 4% del fatturato annuo totale dell’impresa, se superiore.
Quali sono gli aspetti importanti in relazione agli attestati dei corsi di formazione qualora non vengano rilasciati dall’azienda o dall’ente di formazione al diretto interessato?
E’ evidente che, secondo quanto previsto dal GDPR, chiunque eroghi un corso di formazione e non consegni l’attestato al diretto interessato sta violando il regolamento sulla privacy, che in quanto norma europea si applica direttamente in tutti gli Stati membri dell’UE e quindi anche in Italia. Questa violazione potrebbe comportare sanzioni anche penali e il diritto dell’interessato a chiedere un provvedimento d’urgenza al giudice civile per la consegna forzata dell’attestato con condanna alle spese. Inoltre, potrebbe anche configurarsi il reato di appropriazione indebita ai sensi dell’articolo 646 del Codice penale.
È quindi fondamentale che le imprese e i professionisti che trattano dati personali si conformino pienamente al GDPR, garantendo la privacy e i diritti degli interessati. Il rispetto di queste norme è cruciale per evitare sanzioni amministrative e penali, ma è altresì molto importante per instaurare una relazione di fiducia con gli interessati che si affidano al trattamento dei loro dati personali.