Obligació de formar el personal en matèria de protecció de dades
El GDPR no especifica expressament que s'ha de formar el personal en protecció de dades, però sí disposa que el responsable del tractament (RT) "aplicarà mesures tècniques i organitzatives apropiades per tal de garantir i poder demostrar que el tractament és conforme amb el present Reglament ". I això és determinant perquè es formi o s'informi al personal de les mesures de seguretat que aplica el RT.
El GDPR també disposa que "qualsevol persona que actuï sota l'autoritat del responsable o de l'encarregat i tingui accés a dades personals només podran tractar aquestes dades seguint instruccions del responsable, llevat que estiguin obligats a això en virtut del Dret de la Unió o dels Estats membres".
Així doncs, el personal ha de seguir les instruccions del RT o l'encarregat del tractament (ET), i aquestes instruccions han de determinar que el personal té prou coneixements per tractar les dades confidencialment i amb les mesures de seguretat imposades pel RT o ET.
Per a empreses on l'activitat principal no sigui tractar dades personals, serà suficient amb lliurar la política de seguretat. Entendrem com a activitat principal al que es dedica l'empresa, la seva activitat econòmica.
Per a empreses on l'activitat principal sigui tractar dades personals però no precisen DPO ni DPIA, serà suficient lliurar les polítiques d'informació i de seguretat i informar dels protocols dels drets de l'interessat i de les violacions de seguretat. No és imprescindible en cap cas realitzar un curs de formació.
En l'únic article del GDPR on es nomena la formació és a corresponent a les funcions del delegat de protecció de dades (DPO); en aquest cas i com el tractament tindrà unes característiques més complexes (activitat principal amb tractaments de dades a gran escala, organismes públics, etc.) sí que obliga que el personal autoritzat tingui una formació específica: "formació del personal que participa en les operacions de tractament", de manera que en tractaments que precisen DPO la formació ha de ser més específica, ja que els riscos són molt més elevats.