5/26/21

Data Protection Training: perché la formazione dei tuoi collaboratori è importante vol. I

La formazione del personale in ambito Data Protection spesso è ritenuta non necessaria a causa della convinzione che per esprimere il grado di responsabilizzazione di un’Organizzazione sia sufficiente una compliance prettamente documentale .  

Al contrario, la formazione del personale che quotidianamente tratta dati personali e informazioni aziendali attraverso strumenti informatici, deve essere considerata il passaggio fondamentale di un processo più complesso che mira ad una gestione del dato lecita, organizzata tramite procedure fluide, e sicura.  

Perché la formazione?

Il legislatore italiano ha dovuto abbandonare la concezione paternalistica della privacy orientandosi verso un approccio in cui si tende a responsabilizzare i soggetti che trattano dati personali, siano essi titolari o responsabili del trattamento.

Le misure minime di sicurezza non esistono più. Nell’ottica del principio di accountability, le organizzazioni che trattano dati personali devono determinare in autonomia le misure di sicurezza tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al proprio livello di rischio.

Solo le Organizzazioni che conoscono i propri dati e la propria struttura organizzativa sono in grado di valutare quali misure occorre implementare, tenendo in considerazione una serie di fattori: lo stato dell'arte, i costi di attuazione, la natura, l'oggetto, il contesto e le finalità del trattamento, il livello di rischio in riferimento alla probabilità e gravità dell’impatto conseguente sui diritti e le libertà delle persone fisiche.  

La formazione quale misura organizzativa

Ciò che generalmente un’Organizzazione sottovaluta è l'insieme delle misure di sicurezza di tipo organizzativo perché il più delle volte tende a focalizzarsi su misure di sicurezza di tipo tecnico-tecnologico.  

Tuttavia, il fattore di rischio più elevato è il fattore umano.

La creazione di un piano di formazione per i propri collaboratori è certamente una chiave per ottenere delle misure di sicurezza organizzative più efficienti.  

Disposizioni quali l’art. 29 GDPR e l’art. 2-quaterdecies Codice Privacy si riferiscono alle autorizzazioni a trattare dati personali e alle istruzioni su come trattare i dati personali, le quali devono essere obbligatoriamente impartite al personale da parte dell’Organizzazione. I documenti di nomina ad incaricato del trattamento o quale soggetto autorizzato al trattamento, tuttavia, risultano essere “scatole vuote” nel caso in cui il destinatario/dipendente non abbia ricevuto un’adeguata formazione in ambito Data Protection in relazione alla funzione aziendale ricoperta e alle attività che concretamente il soggetto svolge quotidianamente.

L’unica eccezione alla mancanza di una norma di riferimento in materia di formazione è l’art. 39 del Reg. UE 2016/679. La norma, rispetto ai compiti che devono essere svolti da un Data Protection Officer, offre un richiamo specifico alla formazione quale componente delle politiche di una Organizzazione nel momento in cui afferma che il DPO deve (i) informare e fornire consulenza ai dipendenti che eseguono il trattamento e (ii) sorvegliare l’osservanza e l’applicazione delle disposizioni relative alla protezione dei dati nonché delle politiche del titolare o responsabile che comprendono la sensibilizzazione e la formazione del personale che partecipa ai trattamenti.

Il rischio per ogni tipo di organizzazione è considerare la “privacy” e la protezione dei dati personali quale mero adempimento burocratico-documentale.  

Quindi, in che modo la formazione è anche una misura di sicurezza?
E soprattutto, quali sono gli strumenti che rendono efficace un percorso formativo?

Di questo ne parleremo in un secondo articolo 😉

Noi di NSI – Think Outside the box siamo digital enablers e crediamo che la tecnologia abiliti l’innovazione. Semplicemente.

NSI Academy è il nostro spazio dedicato alla formazione, dove puoi acquisire i principi fondamentali e le competenze operative essenziali per poter gestire correttamente dati personali.

Scrivici!