Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

GUIDA ALLA NORMATIVA

Formazione aziendale in ambito privacy: previsioni normative e consigli pratici

La formazione aziendale in ambito privacy è necessaria per rendere i soggetti autorizzati consapevoli dei trattamenti di dati personali che svolgono quotidianamente, ma anche per limitare i rischi di sanzioni e ridurli in ambito sicurezza. Ecco come realizzare un piano formativo compliance col GDPR

28 Ott 2019
A
Alessandro Alessio

Group Privacy Officer, Miroglio Group


L’entrata in vigore del Regolamento UE 679/2016 (“GDPR”) ha ulteriormente rafforzato l’importanza all’interno delle aziende della formazione in ambito privacy.

L’azienda, infatti, qualora agisca quale titolare o quale responsabile del trattamento, opera per mezzo di soggetti autorizzati al trattamento dei dati, i quali dovranno ricevere idonea formazione affinché possano essere consci dei trattamenti di dati personali che svolgono nel corso della loro attività lavorativa e siano in grado di effettuarli nel rispetto della normativa e delle istruzioni fornite.

Allo stesso modo, la formazione sarà importante per l’azienda nel suo complesso al fine di limitare i rischi di incorrere in eventuali contestazioni o sanzioni in merito al trattamento dei dati, nonché per ridurre i rischi in ambito sicurezza.

Tale formazione, oltre a essere ritenuta obbligatoria dalla normativa, rileva ai fini del principio di accountability, in quanto potrà essere uno degli aspetti necessari per consentire di dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione del GDPR, potendo limitare di fatto i rischi per i diritti e le libertà dei soggetti interessati.

Formazione in ambito privacy: previsioni normative

Il Regolamento UE 679/2016 evidenzia in vari punti la necessità e l’importanza della formazione dei soggetti autorizzati al trattamento dei dati personali.

In primo luogo, l’articolo 29 del GDPR evidenzia come “il responsabile del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del titolare, che abbia accesso ai dati personali non può trattare tali dati se non è istruito in tal senso dal titolare”.

Tale obbligo di formazione si inserisce all’interno del più ampio obbligo previsto dall’articolo 32 del GDPR, il quale prevede che “il titolare del trattamento ed il responsabile del trattamento fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri”.

Rientra, pertanto, tra le misure di sicurezza che dovranno essere applicate dal titolare e dal responsabile del trattamento l’adozione di un piano di formazione, il quale consentirà di incrementare la consapevolezza negli individui e ridurre l’errore umano, che molto spesso è il principale fattore di rischio e può comportare delle problematiche per l’azienda, che possono anche tradursi in danni e perdite per la stessa, per quanto attiene sia alla violazione dei dati personali sia ai rischi ed ai danneggiamenti legati alla cyber security.

Gli obblighi formativi vengono poi ripresi dal GDPR all’interno dell’articolo 39, punto 1, lettera b), il quale dispone tra le competenze del Data Protection Officer, quella di “sorvegliare l’osservanza del regolamento, di altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo”.

Potrà essere quindi a carico del Data Protection Officer, previa richiesta dell’azienda, l’organizzazione di un piano di formazione e la gestione dello stesso.

Occorre infine evidenziare come la violazione degli obblighi formativi e l’assenza di un adeguato piano di formazione possano comportare la sanzione amministrativa di cui all’articolo 83, comma 4, del GDPR ossia la sanzione “fino a 10.000.000 Euro, o per le imprese, fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore

Il piano formativo e la sua realizzazione

WHITEPAPER
Mobile security: come proteggere gli smartphone dai malware
Sicurezza

Dopo una breve sintesi delle disposizioni del GDPR applicabili in materia di formazione dei soggetti autorizzati, di seguito qualche spunto per valutare come le aziende possano definire ed attuare la suddetta formazione in ambito privacy.

In primo luogo, l’azienda, attraverso l’ausilio del Data Protection Officer e/o del Privacy Officer e del loro team di lavoro, nonché di eventuali consulenti esterni, dovrà redigere un piano formativo, definendo quali siano i soggetti che andranno formati, le tematiche, la durata e le modalità del corso.

Dovrà inoltre essere previsto un budget di spesa per l’esecuzione di tali attività formative.

Per quanto attiene ai soggetti da formare, ovviamente il piano formativo dovrà interessare quantomeno tutti i soggetti autorizzati al trattamento dei dati personali, i quali dovranno ricevere da un lato una formazione generica sulla normativa in vigore sul trattamento dei dati personali e, dall’altro, una formazione specifica, che consenta loro di comprendere come dovranno procedere alle operazioni di trattamento dei dati personali nella loro attività quotidiana (a titolo di esempio, un dipendente dell’Ufficio Risorse Umane dovrà ricevere istruzioni e formazione specifica su come trattare i dati personali dei dipendenti, dei candidati che inviano i loro curriculum vitae all’azienda, e così via).

È quindi importante che i dipendenti ricevano una formazione connessa al loro ruolo ed all’area aziendale di riferimento.

Occorrerà poi valutare se far svolgere il corso da un formatore esterno oppure da un soggetto interno all’organizzazione. Quale può essere la scelta migliore?

Da una breve analisi, è possibile intuire che un formatore interno avrà sicuramente una conoscenza maggiore della realtà aziendale e potrà quindi tradurre con maggiore facilità i principi sul trattamento dei dati personali nel contesto dell’organizzazione.

Il rischio è, tuttavia, che non abbia adeguate competenze sia da un punto di vista tecnico/legale che da un punto di vista formativo, rischiando pertanto di non fornire nozioni corrette o di non essere ascoltato in modo adeguato dai colleghi partecipanti al corso di formazione.

Dall’altro lato, un formatore esterno potrebbe avere maggiori competenze tecniche, ma dovrà probabilmente impiegare più tempo per conoscere l’azienda e le sue peculiarità, al fine di poter erogare una formazione più specifica.

Spetterà quindi all’azienda valutare la soluzione che ritiene più consona alle proprie esigenze.

Formazione in ambito privacy: soluzione e-learning

Un’ipotesi potrebbe anche essere quella di un corso in modalità e-learning, che consenta ai soggetti di svolgerlo nel momento a loro più favorevole, prevedendo tuttavia un periodo di tempo limitato entro cui ultimare la formazione.

Tale tipologia dovrà comunque tenere traccia degli accessi effettuati dal soggetto ed essere erogata su una piattaforma che consenta di provare, in caso di eventuali controlli, i contenuti della formazione e l’elenco dei soggetti che l’hanno svolta, con relativo esito del corso.

Questa modalità consente sicuramente di raggiungere un maggior numero di dipendenti e collaboratori e sarà molto utile nelle realtà complesse, dove i destinatari si trovano presso svariate sedi locali.

La modalità e-learning consentirà, inoltre, di tenere traccia in tempo reale dello svolgimento dei corsi. Il rischio potrebbe essere quello che, qualora l’azienda decida di erogare lo stesso corso ad un numero elevato di soggetti, lo stesso non tratti questioni particolarmente specifiche e pratiche, attinenti all’attività svolta da ogni individuo.

L’azienda potrebbe quindi anche optare per una soluzione intermedia, che comprenda una prima fase in modalità e-learning, avente ad oggetto gli aspetti principali e generali della normativa sul trattamento dei dati personali, ed una seconda fase in aula con contenuti studiati in base alle peculiarità di ogni area aziendale.

Formazione in ambito privacy: verifica dell’apprendimento

È poi importante che la formazione si concluda con un test per verificare l’apprendimento, prevedendo l’obbligo per i destinatari di ottenere un risultato positivo per poter ritenere concluso il corso.

Diversamente, il formatore interno o esterno incaricato dall’azienda potrà prevedere il rifacimento del test o eventuali sessioni di recupero per coloro che non riuscissero a superare la prova finale.

Nella redazione del piano formativo occorrerà infine definire il periodo di durata della formazione, la quale potrà variare anche in funzione delle aree aziendali e dei dati trattati ed essere definita a seconda delle esigenze dell’azienda.

Conclusioni

Il GDPR, infatti, non prevede nulla in merito alla durata della formazione, ma sarà l’azienda, con l’ausilio del Data Protection Officer e/o del Privacy Officer, a definire in termini di accountability quale sia la formazione più adatta alle sue necessità.

WHITEPAPER
Cybersecurity: come superare le vulnerabilità delle tecniche di Intelligenza Artificiale
Sicurezza
Sicurezza

Resta inteso che il piano formativo dovrà essere rinnovato ogni anno, sia per formare i neo assunti sia per consentire ai soggetti autorizzati di ricevere i dovuti aggiornamenti in materia di trattamento dei dati personali.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4