El GDPR no especifica expresamente que se debe formar al personal en protección de datos, pero sí dispone que el responsable del tratamiento (RT) "aplicará medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el presente Reglamento". Y esto es determinante para que se forme o se informe al personal de las medidas de seguridad que aplica el RT.
El GDPR también dispone que "cualquier persona que actúe bajo la autoridad del responsable o del encargado y tenga acceso a datos personales solo podrán tratar dichos datos siguiendo instrucciones del responsable, a no ser que estén obligados a ello en virtud del Derecho de la Unión o de los Estados miembros".
Por lo que el personal debe seguir las instrucciones del RT o encargado del tratamiento (ET), y estas instrucciones deben determinar que el personal tiene suficientes conocimientos para tratar los datos confidencialmente y con las medidas de seguridad impuestas por el RT o ET.
Para empresas donde la actividad principal no sea tratar datos personales, será suficiente con entregar la política de seguridad. Entenderemos como actividad principal a lo que se dedica la empresa, su actividad económica.
Para empresas donde la actividad principal sea tratar datos personales pero no precisan DPO ni DPIA, será suficiente entregar las políticas de información y de seguridad e informar de los protocolos de los derechos del interesado y de las violaciones de seguridad. No es imprescindible en ningún caso realizar un curso de formación.
En el único artículo del GDPR donde se nombra la formación es en correspondiente a las funciones del delegado de protección de datos (DPO); en este caso y como el tratamiento tendrá unas características más complejas (actividad principal con tratamientos de datos a gran escala, organismos públicos, etc.) sí que obliga a que el personal autorizado tenga una formación específica: "formación del personal que participa en las operaciones de tratamiento", por lo que en tratamientos que precisan DPO la formación debe ser más específica, ya que los riesgos son mucho más elevados.