Non tutti sono consapevoli che la formazione per chi tratta i dati personali è obbligatoria.

È previsto dall’articolo 29 che cita:
“il responsabile del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del titolare, che abbia accesso ai dati personali non può trattare tali dati se non è istruito in tal senso dal titolare”
e ripreso successivamente in modo ancora più esplicito dall’articolo 32:
“il titolare del trattamento ed il responsabile del trattamento fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri”

È quindi indispensabile, oltre che obbligatorio, preparare adeguatamente le persone a gestire correttamente le informazioni con cui vengono a contatto, riconoscendole, classificandole e trattandole secondo quanto previsto dal pino di Sicurezza e Privacy dell’azienda.

L’azienda, infatti agisce come titolare o responsabile del trattamento, e opera per mezzo di soggetti che vengono autorizzati (tramite nomina).
Ma la nomina non è sufficiente, deve anche essere data una formazione orientata alla consapevolezza e attenzione, per riconoscere se vengono effettuati trattamenti di dati personali e nel caso come svolgerli nel rispetto della normativa e delle istruzioni fornite.
Questo è importante per l’azienda per limitare i rischi di eventuali contestazioni e sanzioni, ma soprattutto per ridurre i rischi relativi alla sicurezza (soprattutto quella informatica -cybersecurity-).

Infine l’aver erogato formazione relativamente al tema privacy (e poterlo dimostrare) è rilevante per il principio di accountability, ovvero il poter dimostrare l’adozione di misure idonee per l’applicazione del GDPR, limitando o mitigando i rischi di violazione dei dati e dei diritti degli interessati.

Ecco come realizzare un piano formativo compliance col GDPR.

L’adozione di un piano di formazione consentirà di incrementare la consapevolezza negli individui e ridurre l’errore umano, che spesso è il principale fattore di rischio.
Rischi che possono anche tradursi in danni e perdite per l’azienda, sia per la violazione dei dati personali sia ai rischi ed ai danneggiamenti legati alla cyber security, danni che sono legati alla perdita di immagine (mancata sicurezza e protezione) e molte volte a risarcimenti.

Gli obblighi formativi, oltre che negli articoli precedenti sono presenti anche nell’articolo 39.1, comma b, che dispone tra i compiti del DPO quello di “sorvegliare l’osservanza del regolamento, […omissis…] compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo”.

Titolare e dPO pertanto si devono sobbarcare l’onere dell’organizzazione di un piano di formazione, che se non attivato, potrebbe comportare un “grave violazione” e quindi essere soggetto a sanzione amministrativa.

Il piano formativo e la sua realizzazione

L’azienda, anche attraverso l’aiuto dei consulenti o professionisti (DPO/Privacy Officer, interni o esterni) dovrà stilare un piano formativo, definendo il personale da formare, argomenti, durata e modalità del corso, definendo il budget di spesa per l’esecuzione di tali attività formative.
Ovviamente sono accettate differenti metodologie di erogazione: in aula, e-learning, anche a cura di personale interno, tutte soluzioni che permettono di determinare un costo sostenibile per l’azienda.
Non diventa quindi scusante in una analisi di Rischio (DPIA) la mancata gestione della formazione attribuendo ad essa “un costo troppo elevato e insostenibile” relativamente al rischio da attenuare.

Il rischio di attacco cyber infatti ormai è talmente diffuso da presentarsi ogni giorno sotto diverse forme (mail, chat, siti internet pirata, ecc) che ogni utente diventa potenzialmente un rischio incredibile per tutta la struttura aziendale. La mitigazione di tale rischio pertanto deve passare attraverso la riduzione dell’ignoranza (mi scuso per il termine, ma inteso come “ignorare” ovvero “non conoscere) della struttura e degli strumenti che si devono utilizzare giornalmente.

Chi formare, con chi formare.

Ovviamente il piano dovrà interessare tutti i soggetti autorizzati al trattamento dei dati personali.
È importante che i dipendenti ricevano una formazione connessa al ruolo e all’area di competenza, specificatamente ai DATI che trattano.

Un’ulteriore valutazione sarà quella relativa al far svolgere il corso da un formatore esterno o interno, bilanciando la scelta tra:

• la conoscenza della realtà aziendale = maggiore facilità ad affrontare il trattamento dei dati nel contesto dell’organizzazione
• maggiore competenza tecnico/legale = maggiore conoscenza della normativa e dei processi da attuare
• maggiore esperienza tecnologica = maggiore aggiornamento sulle tipologie di attacco e sui metodi di protezione delle informazioni

Ovviamente ciascuna di queste esigenze deve esser tenuta in considerazione, anche in relazione all’area di erogazione: un reparto commerciale avrà bisogno di ampio supporto legale, mentre un sistema di gestione informatico (programmi e siti) un maggiore comparto tecnico. Spetta quindi all’azienda valutare il mix di competenze da sfruttare per ottenere il massimo e realizzare un piano formativo consono alle proprie esigenze.

Strumenti e accessori.

Abbiamo parlato di e-learning. È sicuramente un metodo economico, che concilia tempi e contenuti, facilmente aggiornabile ed ampliabile, adatto alla formazione continua, ma ci sono dei parametri da rispettare per poter garantire un’adeguata attinenza alle richieste del GDPR.
Ad esempio il sistema dovrebbe tenere traccia (LOG) degli accessi al corso e conservare, per eventuali controlli, i contenuti della formazione e l’elenco dei soggetti che l’hanno svolta, con relativo esito. Questo per poter dimostrare che effettivamente è stato erogato un corso.

Deve poter coprire diversi aspetti e in certi casi potrebbe non essere sufficiente: per l’ampiezza degli argomenti o per la loro specificità.

Si dovrebbe quindi optare per una soluzione ibrida, che comprenda una fase in modalità e-learning, sugli aspetti più generici o sulle ultime novità, ed una fase specifica con contenuti studiati per i singoli individui.

È infine importante che la formazione si concluda con un “test”, da concludere con esito positivo, per verificare l’apprendimento.
Questo stimolerà le persone a superare l’esame e responsabilizzerà l’erogatore del corso ad accertare che le persone siano formate in quanto dipendenti dalla formazione erogata.
Saranno infine necessari audit successivi per rilevare eventuali carenze nell’applicazione di quanto studiato (se supero l’esame per la patente non è detto che rispetti quanto appreso) così da mantenere continua attenzione sull’applicazione delle nozioni imparate.

Conclusioni

Il GDPR quindi responsabilizza l’azienda, il Titolare e se il caso il Data Protection Officer, a definire in termini di accountability quale sia la formazione più adatta alle sue necessità.
Come ogni situazione “da dimostrare” quindi è chiaro che maggiore impegno, nei limiti delle capacità e valutando le conseguenze, vuol dire maggiore dimostrazione di aver approntato un sistema sicuro sotto ogni aspetto. Il piano formativo dovrà essere rinnovato in occasione di neo assunti, di cambiamenti di ruolo, di tecnologie o di trattamenti, non sarà più sufficiente dire “l’ho fatto e me ne dimentico” (o me ne ricordo una volta all’anno).