La Guida

Formazione aziendale in materia di privacy: come farla in maniera efficace

Home Sicurezza digitale Privacy
Indirizzo copiato

La compliance aziendale in materia di protezione dei dati personali non può prescindere dallo svolgimento di una corretta attività formativa rivolta al personale, prevista obbligatoriamente dalla normativa privacy. Come svolgerla e quali sono le principali best practice per renderla efficace

Pubblicato il 28 lug 2023
Lorenzo Giannini

Consulente legale privacy e DPO

Privacy,Concept:,Closed,Digital,Lock,Key,On,Digital,Background.,3d

Il rispetto del principio di accountability rappresenta senza tema di smentite uno dei principali cardini del regolamento europeo in materia di protezione dei dati (Regolamento (UE) 2016/679, anche noto come GDPR), e comporta per l’azienda – nella sua qualità di titolare del trattamento dei dati personali – l’obbligo di mettere in atto misure tecniche e organizzative adeguate a garantire, ed essere in grado di dimostrare, che il trattamento sia effettuato in conformità alla normativa medesima.

Data protection: guida alla stesura della policy aziendale in chiave GDPR

L’obbligo della formazione

Come già sottolineato in un precedente intervento[1], con riferimento alle “misure tecniche e organizzative adeguate” da adottare, il quarto comma dell’art. 32 (rubricato “Sicurezza del trattamento”) stabilisce[2] per il titolare l’importante obbligo di istruire chiunque agisca sotto la propria autorità e abbia accesso ai dati personali.

Dal tenore letterale della norma, pertanto, non solo la formazione risulta essere un vero e proprio obbligo (che concorre, assieme agli altri adempimenti previsti dalla normativa privacy, al rispetto del citato principio di accountability), bensì costituisce essenziale precondizione per consentire l’accesso ai dati personali a tutti coloro che possono effettuarvi le relative attività di trattamento.

Formazione privacy, un’opportunità per le aziende

A ben vedere, oltre al dato normativo, c’è considerare come l’attività formativa dovrebbe di per sé costituire un’opportunità per l’azienda, allo scopo non solo di accrescere il proprio valore reputazionale ma anche di migliorare l’organizzazione dei processi interni e la sensibilizzazione del personale rispetto al rischio di data breach. Come correttamente osservato, “è ormai opinione diffusa e consolidata che le vulnerabilità maggiori in tema di sicurezza informatica provengono dall’interno e che la formazione ai dipendenti sia una delle misure più efficaci per ridurre i rischi di phishing, malware e ransomware”[3].

Il perimetro di obblighi e divieti delineati negli atti di nomina, così come le policy aziendali, per quanto risultino essere parimenti fondamentali e concorrano dal canto loro al rispetto dell’obbligo di istruzione del titolare, hanno per propria natura una diversa impostazione, non potendo integrare caratteristiche che sono connaturate alla vera e propria attività formativa stricto sensu: il rapporto diretto con il soggetto formatore e la possibilità di rivolgere dei quesiti (laddove l’attività si svolga in presenza o in modalità telematica sincrona), così come la previsione di test valutativi, sono entrambi esempi di come la formazione possa riuscire (almeno potenzialmente) a coinvolgere maggiormente i soggetti ai quali è rivolta.

Risulta senz’altro inopportuno inquadrare il tema in uno schema rigido di regole, che mal si attagliano all’opposta necessità di cucire l’attività formativa in ragione del contesto nel quale viene svolta e del relativo fabbisogno formativo. La stessa normativa europea, infatti, non specifica modalità, contenuti e tempi di svolgimento o aggiornamento della suddetta attività, proprio perché quest’ultima – in ottica di applicazione sostanziale e non meramente formale della normativa – deve essere strutturata e sviluppata principalmente in base all’ambito operativo dell’azienda, alla sua composizione interna, ai trattamenti effettuati e alle misure di sicurezza implementate.

Le indicazione per una formazione efficace

Ciò premesso, appare comunque utile individuare – senza pretesa di esaustività – alcune indicazioni di carattere generale, da tenere a mente qualsiasi sia il contesto:

  • Se da un lato i destinatari dell’attività formativa sono, come detto, tutti coloro sottoposti all’autorità del titolare, per quanto riguarda invece il soggetto tenuto a effettuare la formazione, nelle more di un’indicazione puntuale all’interno del testo normativo, è il titolare a dover individuare una o più figure adatte allo scopo. Appare scontato chiarire come non si potrà prescindere dal far ricadere la scelta su un soggetto esperto della materia (quale ad esempio lo stesso consulente privacy dell’azienda, c.d. privacy officer) o, meglio ancora, su una pluralità di soggetti ciascuno con una propria specializzazione, alla luce del carattere interdisciplinare della materia. In questa seconda ipotesi si avrebbe una copertura più capillare e dettagliata anche delle aree “connesse” al tema della privacy come, ad esempio, quella informatica e della cybersicurezza.

Inoltre, nei contesti in cui è presente la figura del responsabile della protezione dei dati (o DPO, Data Protection Officer)[4], quest’ultimo deve essere in grado di controllare[5] e “consigliare al titolare […] quali attività di formazione interna prevedere […] e a quali trattamenti dedicare maggiori risorse e tempo”[6].

  • In ogni caso appare opportuno tarare l’intervento formativo senza appesantirlo con un linguaggio troppo tecnico o incentrato su temi “astratti”. Lo scopo della formazione è proprio quello di “istruire” i soggetti sottoposti all’autorità del titolare e appunto per questo, al di là di indicazioni inerenti a definizioni e i principi, larga parte dovrà essere destinata all’analisi di “case studies”, all’illustrazione sostanziale degli strumenti e delle modalità di trattamento dei dati, nonché dei rischi ad esso connessi; alle misure tecniche e organizzative adottate dall’azienda; alle responsabilità e alle conseguenze sul piano sanzionatorio. Il tutto attraverso un linguaggio semplice e chiaro, che sia ben comprensibile e tenga in considerazione i diversi livelli di rischio che ciascuno si trova ad affrontare nell’espletamento delle proprie attività.
  • Oltre al caso in cui la formazione sia prevista in presenza, per garantire che l’erogazione del corso non pregiudichi la continuità operativa dell’azienda potrebbe essere utile organizzare il suo svolgimento in tutto o in parte in modalità telematica, sia essa sincrona (così da raggiungere simultaneamente anche i soggetti che operano in modalità di lavoro agile[7] o per dar modo di interagire direttamente con il docente) o asincrona (per consentire a ciascuno di usufruire della formazione in modo più “flessibile”, senza che risulti necessaria la presenza in un luogo o a un orario definito). Nel caso in cui all’attività prendano parte più docenti, il corso potrebbe essere scomposto in più sessioni, in base ai diversi temi affrontati (es. ambito giuridico, informatico, organizzativo, etc.).
  • Data la complessità della materia, al fine di rendere maggiormente efficace la formazione, risultano utili presentazioni PowerPoint intuitive e la consegna di materiale quali dispense o prospetti informativi, in cui vengano sintetizzati o schematizzati i principi, gli adempimenti e i rischi ritenuti maggiormente centrali.
  • Al termine della sessione formativa, non solo dovrebbe essere lasciato ampio spazio per le domande, ma altresì effettuato un test finale, al fine di valutare il reale grado di apprendimento dei soggetti e, eventualmente, intervenire nuovamente sugli argomenti la cui comprensione è risultata più lacunosa. Inoltre, il test avrà – tendenzialmente – anche il vantaggio di stimolare preventivamente l’attenzione, alla luce della successiva valutazione che ne scaturisce.
  • Nel rispetto del principio di accountability richiamato in premessa, appare quanto mai fondamentale tenere traccia di tutte le attività svolte. Anche l’attività formativa dovrà infatti essere rendicontata dal titolare al pari degli adempimenti previsti dal GDPR, ad esempio attraverso report, registrazioni, i menzionati test valutativi o con attestati di partecipazione.
  • Alla luce dei continui aggiornamenti normativi e del carattere trasversale della materia, altrettanto fondamentale appare lo svolgimento di un’attività di continuo e costante aggiornamento tramite circolari interne (periodicamente veicolate tramite la intranet aziendale) o la messa a disposizione di periodici “question time” che possano stimolare e far emergere i quesiti da parte del personale.
  • Per quanto non siano esplicitamente stabiliti dei termini temporali per l’aggiornamento della formazione svolta, spetta al titolare – coadiuvato dal privacy officer o, se nominato, dal DPO – svolgere una periodica verifica riguardo alla necessità di una sua revisione o integrazione, che si renderà opportuna, ad esempio, per:
    • L’adeguamento rispetto ad aggiornamenti all’impianto normativo in materia di protezione dei dati personali o ad aree normative ad essa connesse (pensiamo, ad esempio, al tema del whistleblowing, rispetto al quale l’art. 13 del D. Lgs. 24/2023 esprime esplicitamente un collegamento con la normativa privacy);L’introduzione di modifiche nell’assetto delle risorse umane dell’azienda (nuove assunzioni, modifiche nei ruoli o nelle attività del personale) o nelle scelte di politica aziendale circa le misure di sicurezza tecniche e organizzative;L’introduzione in azienda di novità o aggiornamenti sui dispositivi e gli strumenti utilizzati dal personale tramite i quali si effettua un trattamento di dati personali (es. nuovo impianto per la rilevazione delle presenze[8]; nuovo software gestionale; etc.);
    • L’adattamento rispetto ai feedback ricevuti dal personale o a seguito di eventi di data breach[9]: se, ad esempio, si è verificata una violazione di dati personali (tanto più se riconducibile al comportamento non corretto del dipendente) risulta opportuno prevedere uno specifico aggiornamento formativo.

Conclusioni

In conclusione, se da un lato è pacifico il carattere obbligatorio dell’attività formativa privacy in azienda, dall’altro lato alla luce dell’assenza di specifiche indicazioni normative rispetto a tempi e modalità del suo svolgimento, risulta più che mai opportuno mettere al centro la concreta applicazione di quel principio richiamato – non a caso – in apertura, ovvero quello di accountability. Sarà il titolare responsabile di definire la corretta struttura e portata dell’attività formativa, ricompresa a pieno titolo tra le misure organizzative di sicurezza di cui all’art. 24 GDPR.

Note

[1] www.agendadigitale.eu/sicurezza/privacy/data-protection-guida-alla-stesura-della-policy-aziendale-in-chiave-gdpr/

[2] Cfr. altresì art. 29 GDPR.

[3] www.cybersecurity360.it/soluzioni-aziendali/formazione-ai-dipendenti-su-privacy-e-cyber-security-come-renderla-piacevole-ed-efficace/

[4] Per approfondire il tema: www.agendadigitale.eu/cultura-digitale/dpo-guida-alla-nomina-del-responsabile-della-protezione-dei-dati-in-azienda/

[5] Cfr. art. 39, comma 1, lett. b), GDPR.

[6] Par. 4.4 delle “Linee guida sui responsabili della protezione dei dati” WP 243 rev. 01.

[7] Per approfondire il tema del c.d. smart working: www.cybersecurity360.it/legal/privacy-dati-personali/smart-working-e-byod-i-rischi-per-la-sicurezza-aziendale-e-per-la-protezione-dei-dati-personali/

[8] Per approfondire sul punto: www.agendadigitale.eu/sicurezza/privacy/sistemi-di-rilevazione-delle-presenze-in-azienda-guida-pratica-alla-compliance/

[9] Per approfondire il tema della notifica di un evento di data breach al Garante privacy: www.agendadigitale.eu/documenti/giustizia-digitale/data-breach-come-si-fa-la-notifica-al-garante-privacy-guida-pratica-per-aziende/

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

@RIPRODUZIONE RISERVATA
@RIPRODUZIONE RISERVATA

Argomenti

Canali

EU Stories - La coesione innova l'Italia

Tutti
Video & Podcast
Analisi
Social
Iniziative
Podcast
Centro Servizi Territoriali: uno strumento per accompagnare gli enti nell’attuazione della politica di coesione. Il podcast “CapCoe. La coesione riparte dalle persone”
Podcast
EU Stories, il podcast | Politiche di coesione e comunicazione: una sinergia per il futuro
Opinioni
La comunicazione dei fondi europei da obbligo ad opportunità
eBook
L'analisi della S3 in Italia
Norme UE
European Accessibility Act: passi avanti verso un’Europa inclusiva
Agevolazioni
A febbraio l’apertura dello sportello Mini Contratti di Sviluppo
Quadri regolamentari
Nuovi Orientamenti sull’uso delle opzioni semplificate di costo
Coesione
Nuovo Bauhaus Europeo (NEB): i premi che celebrano innovazione e creatività
Dossier
Pubblicato il long form PO FESR 14-20 della Regione Sicilia
Iniziative
400 milioni per sostenere lo sviluppo delle tecnologie critiche nel Mezzogiorno
Formazione
“Gian Maria Volonté”: dalle aule al mondo del lavoro, focus sui tirocini della Scuola d’Arte Cinematografica
TRANSIZIONE ENERGETICA
Il ruolo del finanziamento BEI per lo sviluppo del fotovoltaico in Sicilia
Formazione
“Gian Maria Volonté”: dalla nascita ai progetti futuri, focus sulla Scuola d’Arte Cinematografica. Intervista al coordinatore Antonio Medici
MedTech
Dalla specializzazione intelligente di BionIT Labs una innovazione bionica per la disabilità
Finanza sostenibile
BEI e E-Distribuzione: investimenti per la sostenibilità energetica
Professioni
Servono competenze adeguate per gestire al meglio i fondi europei
Master
Come formare nuove professionalità per governare e gestire al meglio i fondi europei?
Programmazione UE
Assunzioni per le politiche di coesione: prossimi passi e aspettative dal concorso nazionale. Il podcast “CapCoe. La coesione riparte dalle persone”
innovazione sociale
Rigenerazione urbana: il quartiere diventa un hub dell’innovazione. La best practice di San Giovanni a Teduccio
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Podcast
Centro Servizi Territoriali: uno strumento per accompagnare gli enti nell’attuazione della politica di coesione. Il podcast “CapCoe. La coesione riparte dalle persone”
Podcast
EU Stories, il podcast | Politiche di coesione e comunicazione: una sinergia per il futuro
Opinioni
La comunicazione dei fondi europei da obbligo ad opportunità
eBook
L'analisi della S3 in Italia
Norme UE
European Accessibility Act: passi avanti verso un’Europa inclusiva
Agevolazioni
A febbraio l’apertura dello sportello Mini Contratti di Sviluppo
Quadri regolamentari
Nuovi Orientamenti sull’uso delle opzioni semplificate di costo
Coesione
Nuovo Bauhaus Europeo (NEB): i premi che celebrano innovazione e creatività
Dossier
Pubblicato il long form PO FESR 14-20 della Regione Sicilia
Iniziative
400 milioni per sostenere lo sviluppo delle tecnologie critiche nel Mezzogiorno
Formazione
“Gian Maria Volonté”: dalle aule al mondo del lavoro, focus sui tirocini della Scuola d’Arte Cinematografica
TRANSIZIONE ENERGETICA
Il ruolo del finanziamento BEI per lo sviluppo del fotovoltaico in Sicilia
Formazione
“Gian Maria Volonté”: dalla nascita ai progetti futuri, focus sulla Scuola d’Arte Cinematografica. Intervista al coordinatore Antonio Medici
MedTech
Dalla specializzazione intelligente di BionIT Labs una innovazione bionica per la disabilità
Finanza sostenibile
BEI e E-Distribuzione: investimenti per la sostenibilità energetica
Professioni
Servono competenze adeguate per gestire al meglio i fondi europei
Master
Come formare nuove professionalità per governare e gestire al meglio i fondi europei?
Programmazione UE
Assunzioni per le politiche di coesione: prossimi passi e aspettative dal concorso nazionale. Il podcast “CapCoe. La coesione riparte dalle persone”
innovazione sociale
Rigenerazione urbana: il quartiere diventa un hub dell’innovazione. La best practice di San Giovanni a Teduccio
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

Prossimo

Sicurezza dell'IA: costruire un futuro affidabile e trasparente