6/8/21

Data Protection Training: perché la formazione è importante vol. II

In un articolo precedente abbiamo parlato del valore della formazione quale espressione del principio di responsabilizzazione e quale misura di sicurezza di tipo organizzativo. Ora valutiamo i benefici e le caratteristiche che rendono efficace un percorso di formazione.

La formazione quale misura di sicurezza

Le organizzazioni devono includere il Fattore H(-uman) tra i rischi più impattanti per la resilienza dell’impresa. Il tuo personale è stato formato per saper riconoscere, delimitare e gestire una violazione dei dati personali?

La sicurezza informatica, quale misura tecnica ex art. 32 GDPR, non è solamente un prodotto, di per sé acquistabile a qualsiasi costo, ma rappresenta un processo nel quale, il focus che mantiene elevata la soglia di attenzione e di cultura della privacy dei dati personali e di riservatezza delle informazioni, è la persona (fisica).  

Attraverso l’adozione e la messa in pratica di un efficace piano di formazione del personale è possibile imprimere nell’Organizzazione una cultura sulla protezione dei dati. L’insieme dei dati personali e delle informazioni aziendali rappresenta un patrimonio digitale che deve essere conosciuto per poter essere sfruttato.  

Un piano di formazione deve essere efficace. Le attività di formazione, possibilmente ripetute nel tempo, devono essere modulate e differenziate considerando le diverse esigenze di formazione degli autorizzati, sulla base del diverso livello di responsabilità nel trattamento dei dati personali.

L’Organizzazione deve prevedere, con periodicità regolare, una verifica dell’efficacia del piano di formazione da un punto di vista (i) quantitativo, ad esempio verificando il numero di soggetti che hanno partecipato a ciascuna attività di formazione, e (ii) qualitativo, verificando il grado di conoscenza e consapevolezza raggiunto dal proprio personale. Sul punto, un'Organizzazione può valutare l’efficacia del proprio piano di formazione sottoponendo, ad esempio, a test i propri collaboratori, tramite attività di c.d. phishing o vishing test. I test devono essere condotti senza ledere la dignità dei lavoratori coinvolti. I risultati dell’attività devono esprimere, per mezzo di dati aggregati, il livello di attenzione e di prevenzione proprio degli autorizzati.  

Formazione? In che modo?

Un piano di formazione efficace può essere erogato tramite incontri e corsi di formazione in presenza, invio di materiale digitale, oppure tramite corsi di formazione in formato eLearning.  

Per essere efficace, uno strumento per l'apprendimento da remoto dovrebbe possedere le seguenti caratteristiche tecniche:  

  1. Proporre video di breve durata, al fine di mantenere una soglia di attenzione elevata;
  1. Prevedere test intermedi e finali per verificare l’apprendimento;
  1. Dimostrare la partecipazione.

Un corso eLearning sulla Data Protection, oltre ad analizzare le definizioni ed il background giuridico di riferimento, dovrebbe focalizzarsi e approfondire quelle misure organizzative “minime” che un’Organizzazione dovrebbe porre in essere: criteri per la composizione di una password sicura, comportamenti per la prevenzione da attacchi phishing, corretto utilizzo degli strumenti informatici, comportamento in caso di incidente di sicurezza, Clean Desk Policy, gestione informative e consensi privacy. L’apprendimento digitale (eLearning) è certamente il metodo più agile per istruire il proprio personale considerata l’intuitività e la fruibilità di tale strumento.  

Un piano di formazione deve avere l’obiettivo di innalzare la soglia di attenzione, di responsabilizzazione e, di conseguenza, di security, nelle persone che compongono un’Organizzazione. L’attività formativa porterà a:

  1. Una corretta evasione delle richieste di esercizio di un diritto da parte degli interessati;
  1. Una corretta gestione delle violazioni sui dati personali (Data Breach) o di un incident responce;
  1. Ridurre il rischio di sanzioni: nei recenti provvedimenti sanzionatori, si nota come le ispezioni del Garante, molto spesso, hanno rilevato difetti di conformità che riguardavano la carenza di adozione di misure di sicurezza di tipo organizzativo, declinati, il più delle volte, in un’assente o inadeguata attività di formazione del personale dipendente dell’Organizzazione.

Noi di NSI – Think Outside the box siamo digital enablers e crediamo che la tecnologia abiliti l’innovazione. Semplicemente.

NSI Academy è il nostro spazio dedicato alla formazione, dove puoi acquisire i principi fondamentali e le competenze operative essenziali per poter gestire correttamente dati personali.

Scrivici!