Diciamo la verità. La formazione privacy di dipendenti e collaboratori è spesso ritenuta una seccatura, quasi come aver forato una gomma. Insomma, per il titolare di una PMI è spesso considerata un ostacolo allo svolgimento delle attività aziendali. Quando viene proposta da un DPO (responsabile della protezione dei dati personali) o da un consulente il titolare formula due domande:

  • La formazione sulla privacy è davvero necessaria?
  • Quanto dura la formazione sulla privacy?

Nelle organizzazioni più grandi c’è maggiore consapevolezza sulla necessità di fare formazione e su come prevenire brutte sorprese da un incauto trattamento dei dati personali, tuttavia, anche in questo caso, è frequente che siano le figure apicali a formulare le domande proprie del titolare.

Istruzione o formazione?

Prima di entrare nel merito di cosa sia e quali finalità abbia la formazione privacy è necessario fornire qualche precisazione. Nel GDPR ci si imbatte in due termini che spesso vengono usati come sinonimi: istruzione e formazione.

Istruzione sulla privacy

Quando il legislatore utilizza la parola istruzione intende precisare che il titolare di un’organizzazione (es. Azienda, Studio del Consulente del Lavoro, Commercialista, Pubblica amministrazione, Scuola) si assicura di fornire indicazioni documentate su come trattare dati personali in sicurezza a chiunque agisca sotto la sua autorità ovvero, collaboratori a partita IVA e fornitori di servizi che trattano informazioni relative a persone.

Documentare le istruzioni fornite diventa necessario per poter dimostrare di aver assolto alla richiesta legislativa. L’autorità del titolarederiva dalla sottoscrizione di un accordo contrattuale.

Il termine istruzione diventa perentorio quando la norma stabilisce che chiunque abbia accesso a dati personali non può trattarli se non è istruito dal titolare. La violazione di questa prescrizione può comportare una richiesta di risarcimento del danno causato.

Formazione sulla privacy

La parola formazione compare cinque volte nel GDPR ed è una attività che ha come destinatari il personale del titolare. Il termine formazione è rafforzato dal sostantivo sensibilizzazione per sottolineare la necessità di coinvolgere e responsabilizzare tutta l’organizzazione.

Anche la formazione rientra tra le misure di sicurezza organizzative che devono essere adottate per garantire la riservatezza, l’integrità e la disponibilità dei dati personali trattati ogni giorno.

Dunque la formazione privacy di dipendenti e collaboratori è un obbligo a carico dell’imprenditore perché previsto esplicitamente dalla normativa.

L’Autorità Garante per la Protezione dei dati personali ha suggerito di pianificare le attività di formazione distinguendo percorsi formativi di base, per apicali e specialisti. Quando nominato, è il DPO che si deve occupare della sensibilizzazione e formazione del personale che tratta dati personali. In assenza di questa figura l’imprenditore/titolare potrà ricorrere a consulenti e strutture specializzate.

La formazione base, destinata a tutti i dipendenti e ai collaboratori incaricati o meglio, autorizzati a gestire informazioni personali, deve avere come obiettivo quello di fornire precise indicazioni su come trattare i dati, su quali precauzioni di sicurezza adottare e su come interpretare alcune anomalie provenienti dalla pratica quotidiana.

La formazione per figure apicali saràdestinata a dirigenti, quadri, responsabili di settore e coordinatori di team perché potrebbero ricoprire compiti specifici e quindi dover svolgere trattamenti particolari di dati personali.

I corsi di formazione specialistici saranno utili per consentire di studiare, analizzare e fornire indicazioni in settori particolari con una significativa giurisprudenza settoriale. Ad esempio, il settore dell’informazione con l’avvento del digitale e di recente dell’intelligenza artificiale è normato da leggi e provvedimenti anche di altre Autorità di vigilanza.

Caratteristiche della formazione privacy

La formazione di dipendenti e collaboratori dovrebbe:

  1. essere pianificata e rinnovata ogni anno;
  2. essere svolta quando lo richiedono nuove norme (es. Whistleblowing – segnalazione illeciti);
  3. avere una durata di almeno due ore per sessione;
  4. essere svolta con test di verifica finale;
  5. consentire il rilascio di una certificazione al partecipante;
  6. essere documentabile (raccogliere , data ed ora);
  7. non essere noiosa. La presentazione dovrà coinvolgere i partecipanti con domande e risposte.
  8. far parte dei processi di on boarding, cioè programmata per tutti i nuovi assunti che tratteranno dati personali.

È importante ricordare di tenere traccia delle attività svolte, attraverso la conservazione di semplici attestati di partecipazione al corso, test valutativi o dichiarazioni di varia natura in grado di provare lo svolgimento dei corsi perché l’osservanza degli obblighi formativi è di frequente oggetto di verifica da parte del Garante privacy.

I contenuti della formazione

I corsi di formazione potranno essere organizzati e svolti on line oppure in presenza utilizzando piattaforme specializzate di e-learning o rivolgendosi a un consulente privacy.

Un esempio di struttura per una formazione base potrebbe essere:

  • Cos’e il Regolamento per la protezione dei dati personali;
  • Cosa s’intende per dato personale e cos’è un trattamento;
  • I princìpi e le garanzie richieste dal GDPR;
  • I diritti degli interessati;
  • Ruoli e responsabilità del GDPR;
  • La relazione tra titolare e responsabile;
  • I regolamenti aziendali e i controlli per la privacy;
  • La verifica e il monitoraggio dei fornitori di servizi;
  • Le misure di sicurezza informatiche e organizzative adottate;
  • Le minacce informatiche e come prevenirle;
  • Le sanzioni dell’Autorità Garante all’organizzazione per le violazioni inerenti alla protezione dei dati personali;
  • Il test di verifica di apprendimento.

Potrà essere molto utile spiegare cosa sia una Violazione dati (Data breach) e quali siano i processi che vengono attivati. Cos’è, come avviene e come si gestisce una richiesta di esercizio dei diritti degli interessati e perché è necessario segnalarla tempestivamente.

Conoscere e saper distinguere episodi ed eventi che possono pregiudicare i dati personali sarà sicuramente utile per capire come affrontarli quando si presentano. In questo, la formazione, prima di essere obbligatoria, è necessaria.

E la tua azienda a che punto è?

Fai il test gratuito

Taggato come: