Tra le varie prescrizioni introdotte dal nuovo Regolamento europeo per il trattamento dei dati personali (GDPR), ve n’è una, molto spesso sottovalutata, relativa all’obbligo della formazione del personale in ambito privacy.
E’ noto, infatti, che con le nuove norme Ue la privacy assume un’importanza sempre maggiore nei processi aziendali e delle Pubbliche Amministrazioni, e diventa imprescindibile una corretta gestione di tutto ciò che riguarda i dati personali, non solo da un punto di vista “tecnologico” ma anche e soprattutto “organizzativo”.
L’obbligo della formazione del personale in ambito privacy
All’obbligo della formazione del personale in ambito privacy è stata riservata una scarsa attenzione anche dalle principali fonti di informazione in questo settore: su riviste online, siti specializzati, blog è possibile trovare una infinità di articoli riguardanti gli aspetti tecnici, pratici o legali ma pochissimi legati alla formazione.
Eppure gli obblighi formativi sono introdotti dall’art. 39.1.b del Regolamento, il quale prevede, tra i compiti del DPO, quello di “sorvegliare l’osservanza […] delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi […] la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo”, ed inoltre, l’art. 32.4 del Regolamento dispone che “chiunque abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento”.
A tal fine, sempre il DPO, concorda, o dovrebbe concordare, con il Titolare e il Responsabile del Trattamento un piano di formazione privacy, che preveda corsi periodici per personale e collaboratori.
Le aziende e le Pubbliche Amministrazioni, pertanto, devono implementare dei processi formativi che rispondano ai requisiti delle Misure di Sicurezza: testabili, verificabili e valutabili per chiunque gestisca dati personali e, in caso di violazione degli articoli 29 e 39, verranno applicate sanzioni amministrative pecuniarie che potrebbero essere rilevanti.
Non è più possibile considerare la privacy e la protezione dei dati come un mero adempimento documentale e burocratico, perché, come vedremo, l’efficacia dei processi aziendali passa anche attraverso un personale formato e culturalmente predisposto: occorre creare una vera cultura della privacy all’interno della propria organizzazione.
Appare velleitario lo sforzo di adempiere tutti i passaggi formali della conformità al GDPR, sostenendo anche dei costi, se poi si sottovaluta il valore di un’appropriata formazione del personale che vada a mitigare il rischio di possibili data breach.
Per tale motivo è fondamentale che il DPO e/o il Titolare del Trattamento promuovano una formazione efficace, in primis, come riportato nell’articolo 39, “del personale che partecipa ai trattamenti”, per esempio, chi raccoglie i dati dovrebbe saper illustrare al soggetto interessato che ne fa richiesta le finalità e l’utilizzo degli stessi fatto dall’azienda, oppure, dovrebbe conoscere quali errori evitare nella scelta delle password di accesso ai sistemi informatici e più in generale dovrebbe conoscere le policy di sicurezza definite dall’organizzazione.
Quali caratteristiche per una formazione efficace
Una corretta formazione è quindi imprescindibile.
Il GDPR pur prescrivendo l’obbligo di formazione non ne specifica modalità e contenuti, spetta quindi al DPO e/o al Titolare del Trattamento sceglierne la forma e i programmi affinché essa risulti efficace, a tal fine, vale la pena evidenziare alcune caratteristiche essenziali:
- Formazione come opportunità di crescita:
i regolamenti in generale suonano sempre come noiosi ma il GDPR deve essere considerato da tutti come un’opportunità di crescita personale e non solo per l’azienda, in un mondo dove la condivisione delle informazioni è qualcosa che va oltre la propria attività lavorativa. - Formazione pertinente e puntuale:
il personale ha bisogno di conoscere la logica dei processi della propria organizzazione solamente nella misura in cui ne è coinvolto, non ha certo bisogno di conoscerne i minimi dettagli. - Formazione breve e accattivante:
spesso la formazione può essere inefficace se erogata con modalità e tempi inappropriati, sono indispensabili sessioni brevi, materiale accattivante con molte immagini ed esempi che possano alleggerire anche gli argomenti più impegnativi e catturare l’attenzione del discente.
Creare una cultura della privacy attraverso la formazione, i vantaggi
Creare una cultura della privacy attraverso un’adeguata formazione porta indubbi vantaggi:
- Fidelizzazione del cliente o cittadino nel caso delle Pubbliche Amministrazioni:
se l’attenzione per la privacy e la protezione dei dati personali sono tenuti nella giusta considerazione dall’azienda e di questo se ne da evidenza all’esterno, il cliente/cittadino si sentirà maggiormente protetto e rassicurato.
- Maggiore qualità dei prodotti/servizi:
creare prodotti/servizi che hanno a che fare con i dati personali utilizzando il principio del privacy by design da un valore aggiunto al prodotto/servizio stesso.
- Personale motivato:
acquisire know-how su privacy e sicurezza informatica fa prendere coscienza dei rischi che si corrono trascurando o sottovalutando questi aspetti anche nella vita privata, per esempio sui social network. Sono sempre più frequenti truffe informatiche o attacchi hacker per cui essere preparati sarà motivo di soddisfazione.
- Riduzione del rischio di sanzioni e tutela della “reputation”:
personale formato correttamente mitiga il rischio di data breach e il conseguente danno all’immagine aziendale.
Gli obiettivi della formazione
L’obiettivo delle attività di formazione dovrebbe essere quello di fornire strumenti metodologici e pratici che soddisfino tutti i requisiti normativi di conformità al GDPR.
Un approccio interessante, soprattutto per grandi realtà aziendali, prevede l’implementazione della formazione in due fasi distinte, nella prima ci si sofferma sui caratteri e i principi generali che sono alla base del nuovo regolamento (elementi comuni per ogni organizzazione imprenditoriale), mentre nella seconda si analizzano gli aspetti specifici della singola azienda approfondendo, in primis, le procedure legate ai trattamenti attuati al suo interno.
Prima fase
Obiettivo della prima fase è l’acquisizione di concetti inerenti gli aspetti generali, i principi, i ruoli, le responsabilità e i processi previsti dal GDPR. Nello specifico:
- Introduzione al GDPR;
- Quanto vale la nostra privacy;
- I soggetti della “privacy” e della protezione dati;
- Principio di “accountability”;
- Trasparenza e diritti dell’interessato;
- Valutazione d’Impatto e Action Plan;
- Data Breach;
- Eventuale Test di apprendimento.
Seconda fase
La seconda fase sarà incontrata sulle specificità della singola azienda sfruttando al meglio le competenze interne.
Si potrebbero costituire dei piccoli team di lavoro, di poche unità, ciascuno dedicato a un aspetto caratteristico di uno o più tra i trattamenti eseguiti. Compito dell’azienda sarà formare adeguatamente questi team affinché possano mettere in relazione le disposizioni del GDPR con gli aspetti pratici legati all’attività ordinaria.
Questi gruppi avranno l’incarico di sintetizzare e condividere il know-how acquisito con il resto del personale direttamente coinvolto nel trattamento dei dati.
Questo approccio garantisce due risultati:
- la costituzione di un team permanente con conoscenze specifiche, focal point aziendali, da consultare per dubbi e chiarimenti sulla materia oppure semplicemente per poter avere linee guida da seguire nel caso in cui si verifichi una criticità;
- una diffusione rapida e capillare delle disposizioni oggetto del GDPR tra il personale che opera sui trattamenti.
Tale approccio, può essere applicato con ottimi risultati anche per le piccole e medie aziende ispirandosi al medesimo principio: dapprima una formazione generale poi, una formazione specifica sui trattamenti eseguiti coinvolgendo le “expertise” interne per una successiva divulgazione al resto dell’azienda.
Formazione, i vantaggi dell’e-learning
Un valido strumento di supporto alla realizzazione del suddetto sistema formativo è l’utilizzo dell’e-learning.
Questo strumento può essere usato sia per erogare i contenuti previsti nella prima fase sia per divulgare la sintesi dei risultati dei gruppi di lavoro, soprattutto quando parliamo di aziende di grandi dimensioni con un’organizzazione capillare articolata in diverse direzioni spesso distribuite sul territorio (succursali, filiali o poli).
Avere a disposizione un contenuto fruibile online permette di avere una serie di vantaggi:
- formazione sistematica, coerente e ripetibile;
- facilità di accesso, contenuti disponibili da un browser oppure da una app;
- costi ridotti per l’erogazione e la partecipazione, anche per partecipanti “distaccati” in sedi diverse;
- può essere erogato per i dipendenti e come parte di un processo di induzione per i nuovi assunti.
In base all’esperienza personale come formatore posso concludere che la chiave per accendere l’interesse e l’attenzione dei partecipanti ai corsi è quella di coinvolgerli direttamente parlando degli aspetti legati alla privacy riconducendo concetti, che potrebbero sembrare all’apparenza astratti e teorici, a situazioni concrete legate alla vita di ciascuno di noi, si ha gioco facile quando si parla di Facebook o di Google per esempio.
Invito sempre a porre l’attenzione sulle infinite implicazioni che si potrebbero avere rilasciando in rete informazioni personali senza avere la consapevolezza dell’effettivo uso che ne fanno i grandi player, ai quali forniamo, spesso troppo frettolosamente, il nostro consenso senza porre la dovuta considerazione alle condizioni e i termini di utilizzo.
Ecco, la salvaguardia della privacy e la protezione dei dati bisogna metterla in pratica sin dalla mattina quando accediamo per la prima volta su Facebook!
