Loading...
Data di pubblicazione: 13 Giugno 2019

GDPR: la formazione è un obbligo?

Nunzia Turco
Privacy Consultant & IT Specialist Gruppo Silaq - Ricercatrice Centro Ricerche e Studi dei Laghi

Tra le prescrizioni introdotte dal Regolamento UE 2016/679 per il trattamento dei dati personali (GDPR) ve n’è una, molto spesso sottovalutata ma fondamentale nel processo di adeguamento, relativa all’obbligo formativo in ambito privacy per chiunque tratti dati all’interno di un’organizzazione.

Il tema della formazione è richiamato negli articoli 29 e 32 p. 4 del Regolamento Europeo, che riportano come «... chiunque abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso...».

La formazione privacy è una importante misura di sicurezza per la protezione dei dati personali che deve essere obbligatoriamente adottata da tutti i Titolari del Trattamento e Responsabili del Trattamento. Appare poco sensato lo sforzo di adempiere tutti i passaggi formali della conformità al GDPR, sostenendo a volte anche costi elevati, se poi si sottovaluta il valore di un’appropriata formazione del personale che vada a mitigare il rischio di possibili violazioni.

Inoltre, anche attraverso interventi formativi il Titolare, in base al principio di accountability (ossia di responsabilizzazione), può dimostrare di aver aggiunto uno dei tasselli fondamentali al sistema di gestione privacy dell’organizzazione e di aver adottato delle misure finalizzate ad assicurare l’applicazione del Regolamento.

Per tale motivo è fondamentale promuovere una formazione e un'istruzione efficace del personale che partecipa ai trattamenti. Per esempio, chi raccoglie i dati dovrebbe essere in grado di illustrare al soggetto interessato che ne fa richiesta le finalità e l’utilizzo degli stessi fatto dall’azienda, ma dovrebbe anche conoscere quali errori evitare nella scelta delle password di accesso ai sistemi informatici e più in generale conoscere le policy di sicurezza definite dall’organizzazione.

La programmazione di attività formative deve essere prevista al momento dell’assunzione di nuovo personale, nonché in caso di:

  • cambiamenti organizzativi (ad esempio una risorsa cambia mansione e in tale cambiamento anche gli aspetti privacy che si trova a gestire sono notevolmente maggiori e più delicati; oppure viene introdotto un nuovo software che porta al trattamento elettronico di dati che prima erano trattati esclusivamente in forma manuale e quindi soggetti a rischi differenti, ecc.);
  • turn over dei dipendenti (nuovi incaricati che trattano dati sono nuovi soggetti da formare);
  • incremento e miglioramento del sistema di gestione (cambiano e si aggiornano i processi e di conseguenza variano anche le modalità di trattamento e le misure di sicurezza);
  • cambiamenti legislativi (nuove normative in ambito privacy, provvedimenti del Garante Italiano ecc.).

Il Titolare e il Responsabile del trattamento devono essere certi che chiunque agisca sotto la loro autorità e tratti i dati personali riceva un’adeguata formazione e precise istruzioni; diversamente il sistema di gestione privacy sarà sempre in qualche modo carente e fragile.

Il personale deve sempre operare con consapevolezza e competenza sufficienti a garantire la riservatezza e la protezione dei dati.

Non si deve quindi considerare “la privacy” e la protezione dei dati come un mero adempimento documentale e burocratico, ma occorre creare una vera cultura della privacy all’interno dell’organizzazione. Deve essere percepita da tutti come un’opportunità di crescita personale – e non solo come un valore aggiunto che accresce la fiducia nell'azienda da parte dei clienti – perché la condivisione delle informazioni non riguarda unicamente il contesto lavorativo, ma anche e soprattutto la sfera privata.

Torna alla lista degli articoli