ADEMPIMENTI PRIVACY

Giochi di ruolo nella data protection: simulare la realtà per potenziare formazione e prontezza operativa

La “messa a terra” di un modello organizzativo privacy ben predisposto passa attraverso un programma di formazione ben strutturato, che sia idoneo a implementare le “fredde” regole organizzative nel complesso contesto aziendale. Per tale finalità, il ricorso a tecniche di “Role-Playing” può avere una concreta utilità anche per registrare/misurare il livello di compliance al GDPR dell’impresa

14 Dic 2021
A
Giuseppe Alverone

DPO dell'Arma dei Carabinieri. Certificato UNI 11697:2017

Nell’ecosistema della data protection la definizione di politiche e di procedure e l’attribuzione di ruoli e responsabilità sono gli elementi necessari per assicurare una corretta gestione dei rischi per i diritti e le libertà fondamentali delle persone fisiche.

Ma questo non è sufficiente: la “messa a terra” di un modello organizzativo privacy ben predisposto passa attraverso un programma di formazione ben strutturato, che sia idoneo ad implementare le “fredde” regole organizzative nel complesso contesto aziendale ed è risaputo che la formazione risulta tanto più efficace quanto più riesce a coinvolgere emotivamente le persone da istruire, facendo leva sul loro immaginario personale.

Per tale finalità, molto proficuo potrebbe risultare il ricorso a tecniche di “giochi di ruolo” (c.d.“Role-Playing”) che possono avere una concreta utilità anche per registrare/misurare il livello di compliance al GDPR dell’impresa.

Dopo aver applicato per anni, in passato, il “Role Playing” nei processi di selezione del personale, ho pensato di sperimentarne l’efficacia in alcuni momenti formativi per DPO che sono stato chiamato a condurre. I relativi feed back sono stati, per me, molto soddisfacenti.

Protezione dei dati personali: l’importanza di creare una cultura della consapevolezza

Il gioco di ruolo nella data protection

Come insegnava il compianto Jacques Ardoino, che è stato uno dei più autorevoli docenti di Scienze della Formazione,[1] il Role-Playing è una tecnica che consiste nel mettere in atto una data situazione, reale o immaginaria, che include necessariamente elementi di conflitto che costituiscono il quadro delle relazioni. È, quindi, un gioco e di conseguenza viene condotto nell’ambito dell’immaginario. I partecipanti scelgono un tema e assegnano i ruoli; poi il dialogo e l’interazione dovrebbero derivare spontaneamente dalla situazione fino ai limiti delle possibilità espressive offerte dal tema stesso.

WHITEPAPER
Certificazioni GDPR: tutti i vantaggi per le organizzazioni che vi aderiscono
Legal
Privacy

Anche se le situazioni non sono sempre viste come vere (sebbene, a volte, sembrino diventarlo), la partecipazione emotiva è comunque reale.

La teoria del Role-Playing, che si è sviluppata a partire dal 1923 ad opera dello psichiatra Jacob Levy Moreno, oggi si è affermata come un mezzo profondo di formazione psicologica. Facilita lo sviluppo di tendenze latenti e l’instaurazione di comunicazioni significative e genuine, certamente più libere di quelle possibili in condizioni normali che ovviamente sono limitate dall’esistenza di stereotipi e configurazioni culturali.

Il gioco di ruolo formativo nell’ecosistema privacy

Lo svolgimento del Role-Playing può essere a schema libero o strutturato, i.e. indirizzato attraverso la fissazione di regole, vincoli e la precisa attribuzione di ruoli.

La prima tipologia viene spesso utilizzata nella selezione del personale per il training dei colloqui di lavoro, la seconda risulta invece più adatta a potenziare gli effetti della formazione.

In particolare, ho verificato che in ambito “privacy” può determinare:

  • un forte coinvolgimento emotivo ed una effettiva partecipazione al momento formativo delle persone da istruire;
  • una maggiore motivazione ed una consapevolezza sistemica dei manager che esercitano le funzioni di titolari e degli autorizzati al trattamento;
  • una maggiore garanzia per il trainer di trasferire il messaggio formativo;
  • la possibilità di saltare la fase finale della misurazione dei risultati della formazione attraverso la somministrazione di specifici questionari.

Vediamo di seguito come sia possibile implementare questo metodo nell’ecosistema privacy, avvertendo che si tratta di tecniche che vanno comunque utilizzate da persone che ne abbiano il controllo, avendo ricevuto un’adeguata formazione. Improvvisare una sessione di “Role-Playing”, senza una adeguata preparazione, può comportare il rischio di trovarsi in situazioni davvero imbarazzanti, ottenendo l’effetto opposto a quello desiderato.

Il Role-Playing formativo è sostanzialmente un processo che si sviluppa attraverso le seguenti fasi.

Riscaldamento (Warming up)

In questa fase, che è prodromica e serve a riscaldare l’ambiente, il trainer:

  • definisce il tema: e.g. la predisposizione di una politica di trattamento, la definizione di una procedura, il disegno di un processo aziendale, l’esecuzione di una DPIA;
  • quindi legge e commenta le norme di riferimento, i pareri e le linee guida del Garante e del WP29/EDPB e di eventuali provvedimenti delle Autorità di Controllo europee.

Spiegazione (briefing)

In questa fase il trainer:

  • spiega le finalità del “Role-Playing”;
  • fissa le regole ed i vincoli;
  • attribuisce i ruoli: alcuni interpreteranno specifiche figure (i.e. DPO, manager delegato, autorizzato al trattamento), gli altri avranno il ruolo di “osservatori esterni”.

Esecuzione (Play)

È la fase in cui viene eseguito il gioco. La durata deve essere prefissata. I partecipanti devono sforzarsi di “calarsi nel ruolo”, cercando di non farsi condizionare dalla loro visione.

Gli osservatori non devono intervenire in alcun modo; devono restare in silenzio e possono annotare ogni loro pensiero, idea o valutazione che sia stata occasionata dall’esecuzione del gioco.

Raffreddamento (Cooling off)

In questa fase i partecipanti escono dal ruolo interpretato ed il trainer pone alcune domande circa le percezioni e le sensazioni avute nel corso del gioco.

Rielaborazione (Debriefing)

È la fase finale, il momento delle deduzioni, delle valutazioni e delle discussioni finali.

Si inizia con alcune domande da parte degli “osservatori” che hanno preso appunti nel corso del gioco. I partecipanti/attori intervengono alla fine per poter rispondere alle domande ed aggiungere le proprie valutazioni ed osservazioni.

Il Role-Playing operativo: l’esercitazione

Il GDPR, tra gli adempimenti necessari a garantire un livello di protezione dei dati personali adeguata ai connessi rischi per i diritti e le libertà fondamentali, prescrive l’adozione di una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative, al fine di garantire la sicurezza dei trattamenti[2]. Si tratta del cosiddetto “Penetration Testing” (o Pen Testing) che è una modalità di hacking etico: si simula un attacco ad un sistema informatico per individuare eventuali vulnerabilità.

La stessa procedura dovrebbe essere implementata, non solo nell’ambiente digitale, ma anche in ambito organizzativo per verificare se i processi aziendali in cui girano dati personali siano allineati ai principi fissati dall’art. 5 GDPR.

Per tale specifica finalità si potrebbe rivelare utile il ricorso al “Role-Playing” che comporterebbe un coinvolgimento emotivo ed una effettiva adesione del personale.

In concreto, si potrebbe prevedere la simulazione di un’ispezione da parte dell’Autorità Garante che, combinando il “Pen Testing organizzativo” e l’”audit di prima parte” offrirebbe la possibilità di:

  • preparare tutto il personale circa il comportamento da tenere durante un’eventuale ispezione del Garante;
  • realizzare un’efficace autovalutazione del livello di compliance al GDPR;
  • evidenziare eventuali spazi di miglioramento organizzativo, anche per funzioni aziendali diverse dalla privacy (e.g. la comunicazione esterna ed interna).

Diamo allora, di seguito, qualche suggerimento per realizzare il Role-Playing” operativo.

Il punto di partenza è la specifica procedura che fissa ruoli e responsabilità del personale, in caso di ispezione da parte dell’Autorità Garante. E’ una procedura di cui ogni organizzazione, pubblica o privata che tratta dati personali, dovrebbe dotarsi al fine di agevolare la standardizzazione dei comportamenti da tenere in caso di ispezione.

Per testare la validità di tale procedura sarebbe molto utile eseguire un’esercitazione.

Gli esperti di sicurezza sanno bene che l’esercitazione è una particolare forma di Role-Playing, improvvisa ed inattesa, è la misura organizzativa di elezione, necessaria per misurare la “prontezza operativa” di un’organizzazione in relazione a specifici rischi (e.g., molto nota è l’esercitazione antincendio). E non è un caso se lo strumento militare di difesa dei diversi Paesi è denominato ESERCITO.

Quindi il DPO, d’intesa solo con il Vertice gerarchico dell’organizzazione, senza dare alcun preavviso, potrà organizzare un’ispezione simulata del Garante. Va sottolineato che non è necessario riprodurre nel dettaglio lo sviluppo di una vera ispezione. La simulazione può essere efficace se cattura l’essenza dell’esperienza originale.

Il DPO può alternativamente:

  • agire come facilitatore, dando ad un auditor l’incarico di eseguire l’ispezione simulata;
  • sovrintendere all’intera ispezione simulata interpretando Egli stesso l’organo ispettivo.

Di fatto, in concreto, verrà svolto un audit di prima parte “a sorpresa” che coinvolgerà emotivamente il personale interessato, determinando maggiore motivazione.

L’ispezione simulata darà certamente come risultato:

  • la registrazione/misurazione della capacità di rispondere del personale coinvolto;
  • l’accertamento di eventuali “non conformità” che potranno essere tempestivamente corrette;
  • un concreto, effettivo miglioramento organizzativo.

Sarà possibile anche ottenere elementi di valutazione sulla capacità dell’organizzazione di reagire, di rispondere ai diversi stimoli provenienti dal contesto esterno, considerando che potrebbe sempre arrivare un momento in cui davvero si presenti in azienda un militare della Guardia di Finanza o un funzionario delegato dal Garante per eseguire una vera ispezione.

In quel caso, essendo nella realtà, come però spesso avviene nei film, basterà dire “Attenzione: non è un esercitazione!”.

 

NOTE

  1. Ardoino, J. “Using Role-Playing (Or the Psychodrama) as a Means of Training.” Management International, vol. 4, no. 5/6, Springer, 1964, pp. 13–20, qui.

  2. Art. 32, paragrafo 1, lettera d) del GDPR.

WHITEPAPER
GUIDA PRATICA contro il Phishing: scopri come tutelare la tua azienda!
CIO
Sicurezza
@RIPRODUZIONE RISERVATA