Il riferimento ad un’attività specifica di formazione del personale autorizzato all’interno del GDPR è inserita negli articoli 29 e 32, qui riportati:
Art. 29 – Trattamento sotto l’autorità del titolare del trattamento o del responsabile del trattamento
Il responsabile del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del titolare del trattamento, che abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri;
Art. 32 c. 4 – Il titolare del trattamento e il responsabile del trattamento fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri.
In entrambi gli articoli si fa riferimento all’istruzione che chiunque agisca sotto l’autorità del titolare o del responsabile del trattamento deve ricevere dai soggetti per i quali agisce.
Il dettato dell’art. 29, a mio avviso, richiede che l’autorizzato riceva apposite istruzioni e adeguata formazione sui trattamenti che gli sono stati assegnati, in un’ottica organizzativa; così come qualsiasi risorsa impiegata in un qualsiasi processo aziendale riceverà formazione e istruzioni per poter essere inserita in organico, allo stesso modo dovrà essere formata e istruita affinché possa effettuare al meglio le operazioni relative al trattamento al quale è assegnata.
L’attività di istruzione e formazione inserita nell’art. 32, invece, va vista in un’ottica di sicurezza: tenendo presente che l’anello debole di ogni catena di sicurezza è sempre l’uomo, è pacifico che una risorsa ben formata e istruita avrà maggiore consapevolezza delle criticità inerenti alle operazioni ad essa assegnata, permettendo di ridurre le probabilità di commettere errori con conseguente impatto sulla riservatezza, sull’integrità o sulla disponibilità dei dati trattati.
Indice degli argomenti
GDPR e formazione del personale autorizzato: i contenuti
Le esigenze di formazione dovranno essere programmate in un arco temporale ampio, da un minimo di un anno ad un massimo di tre anni, considerando:
- il numero di risorse da formare;
- il numero di settori e delle funzioni;
- la complessità dei trattamenti presenti nell’organizzazione;
- la tipologia dei dati trattati.
Il piano di formazione, così risultante, dovrà prevedere, oltre ad argomenti di trasversale interesse, specifica attenzione ai trattamenti, ai rischi, alle operazioni che ciascun reparto e/o funzione si troverà nella pratica ad affrontare.
A titolo d’esempio, a mio avviso, risulteranno opportuni per ogni risorsa a disposizione avere informazioni:
- sulla definizione di trattamento;
- sui principi di liceità dei trattamenti;
- sui concetti di data breach;
- di clean desktop;
- dei diritti degli interessati.
Parlando di diritti degli interessati, saranno maggiormente approfondite al personale addetto al Front Office le modalità previste per permettere l’esercizio del diritto di accesso agli interessati.
GDPR e formazione del personale autorizzato: la verifica
Richiamando il dettato dell’art 24, che recita: “Tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento. Dette misure sono riesaminate e aggiornate qualora necessario”, appare di grande importanza lasciare traccia dell’attività formativa effettuata attraverso la verbalizzazione degli incontri svolti.
Tali verbali saranno completi di data, orario e sede di svolgimento, dell’elenco dei partecipanti con le relative firma di presenza, del dettaglio degli argomenti trattati nonché dei nominativi e delle firme dei docenti/formatori presenti.
Un ulteriore grado di accountability per il titolare del trattamento sarà dato dalla verifica di efficacia della formazione somministrata.
Questa attività, spesso sottovalutata, risulta di grande importanza sia per capire la qualità delle modalità di erogazione delle informazioni sia per valutare quanto queste siano effettivamente arrivate a destinazione accrescendo, quindi, la cultura aziendale.
Gli strumenti utilizzabili vanno dal semplice colloquio a fine lezione, la cui traccia e risultato sarà in calce al verbale di formazione visto in precedenza, ai più efficaci test a risposta multipla o a risposta aperta somministrati ai componenti dell’aula, con strumenti cartacei o informatici.
Ancor meglio sarebbe, ove possibile, prevedere le sessioni di verifica non a fine lezione ma in un tempo successivo (ad esempio dopo qualche giorno) per avere maggiore contezza dei risultati ottenuti.
Tutta l’attività formativa, registrata con apposita modulistica e adeguatamente archiviata, sarà oggetto di costante monitoraggio, al fine di verificarne il corretto aggiornamento ad eventuali modifiche normative e all’evoluzione della realtà organizzativa.
In conclusione
La formazione degli autorizzati al trattamento dei dati è, senza dubbio, un’attività di grande importanza, sia dal punto di vista squisitamente organizzativo che in un un’ottica di sicurezza, senza la quale l’accountability del titolare risulta più debole e difficilmente opponibile anche in fase di controllo da parte delle Autorità competenti.
