Qualsiasi prestatore di lavoro dipendente o collaboratore che tratti dati personali, deve essere formato e aggiornato ai sensi dell’articolo 32 GDPR. Della formazione e dell’aggiornamento sono responsabili il titolare del trattamento e il responsabile del trattamento i quali “fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso”. Cosa accadrebbe se un dipendente dovesse violare le disposizioni impartitegli, finalizzate a garantire la sicurezza dei dati da lui trattati e riferibili a degli interessati? È facilmente intuibile che qualora acquisisse dati personali a lui normalmente preclusi, oppure utilizzasse i dati personali in suo possesso per finalità differenti da quelle strettamente connesse alle sue mansioni lavorative, egli commetterebbe un grave illecito del quale risponderebbe personalmente.