Tra le varie prescrizioni introdotte dal nuovo Regolamento europeo per il trattamento dei dati personali (GDPR) ve n’è una, molto spesso sottovalutata, relativa all’obbligo della formazione del personale in ambito privacy al fine di fornire strumenti metodologici e pratici che soddisfino tutti i requisiti normativi di conformità al GDPR.
Le aziende e le pubbliche amministrazioni, pertanto, devono implementare dei processi formativi che rispondano ai requisiti delle misure di sicurezza: che siano cioè testabili, verificabili e valutabili per chiunque gestisca dati personali.
Come evidenziato nell’articolo La formazione al GDPR, così tanto trascurata: ecco come farla di AgendaDigitale, non è infatti più possibile considerare la privacy e la protezione dei dati come un mero adempimento documentale e burocratico, in quanto l’efficacia dei processi aziendali passa anche attraverso un personale formato e culturalmente predisposto.
Creare una cultura della privacy attraverso un’adeguata formazione porta indubbi vantaggi tra cui vanno sicuramente contemplati:
- fidelizzazione del cliente o cittadino nel caso delle pubbliche amministrazioni;
- maggiore qualità dei prodotti/servizi utilizzando il principio della privacy by design;
- personale più motivato;
- riduzione del rischio di sanzioni e tutela della “reputation”.
Gli obblighi formativi sono introdotti dall’art. 39.1.b del Regolamento, il quale prevede tra i compiti del DPO quello di “sorvegliare l’osservanza […] delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi […] la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo”, ed inoltre, l’art. 32.4 del Regolamento dispone che “chiunque abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento”.
A tal fine sempre il DPO concorda, o dovrebbe concordare, con il titolare e il responsabile del trattamento un piano di formazione privacy, che preveda corsi periodici per personale e collaboratori.
Il Data Protection Officer, come ci ricorda l’articolo Il Data Protection Officer nel GDPR: quando è obbligatorio di ZeroUnoWeb, è una figura introdotta dal Regolamento generale sulla protezione dei dati 2016/679 | GDPR che deve avere un ruolo aziendale con competenze giuridiche, informatiche, di risk management e di analisi dei processi. La sua responsabilità principale è quella di osservare, valutare e organizzare la gestione del trattamento di dati personali all’interno di un’azienda, affinché questi siano trattati nel rispetto delle normative privacy europee e nazionali, e la cui designazione, ai sensi dell’art. 37, del GDPR, è obbligatoria in tre ipotesi:
- se il trattamento di dati personali è effettuato da un’autorità pubblica o da un organismo pubblico;
- quando le attività principali dell’organizzazione consistono in trattamenti che, richiedono il “monitoraggio regolare e sistematico” degli interessati “su larga scala”;
- quando le attività principali dell’organizzazione consistono nel trattamento “su larga scala” di dati “sensibili” (rectius, “categorie particolari di dati”) o “giudiziari” (rectius, “dati personali relativi a condanne penali e reati”).
Come si evince, risulta fondamentale che il DPO e/o il titolare del trattamento promuovano una formazione efficace in primis, come riportato nell’articolo 39, “del personale che partecipa ai trattamenti”: per esempio, chi raccoglie i dati dovrebbe saper illustrare al soggetto interessato che ne fa richiesta le finalità e l’utilizzo degli stessi fatto dall’azienda, oppure dovrebbe conoscere quali errori evitare nella scelta delle password di accesso ai sistemi informatici e più in generale dovrebbe conoscere le policy di sicurezza definite dall’organizzazione.
A cura di Jusef Khamlichi, Consulente senior presso P4I – Partners4Innovation e Gaia Rizzato, Trainee Information & Cyber Security presso P4I – Partners4Innovation
