La formazione privacy del personale è spesso trascurata e imprese ed enti, ritenendola talvolta superflua, decidono di non svolgerla o di limitarla a un breve video o a poche slide in cui non si affrontano adeguatamente le questioni relative al trattamento dei dati personali.
In assenza di un’adeguata formazione, però, i dipendenti che, nello svolgimento delle loro attività, trattano dati personali, non possono comprendere il ruolo che rivestono nella gestione dei dati personali, non riescono ad avere gli strumenti per capire come trattarli nel rispetto della normativa di settore e delle istruzioni ricevute e rischiano di commettere errori che possono ricadere sull’organizzazione di appartenenza.
L’obbligo di istruire e formare il personale
L’obbligo di istruire chiunque tratti dati personali sotto l’autorità del titolare o del responsabile del trattamento è previsto dagli articoli 29 e 32 del Regolamento UE 2016/679 (noto anche come GDPR).
È vero che le istruzioni potrebbero essere fornite attraverso le modalità più varie, ma occorre che il personale comprenda quanto viene indicato e ciò è possibile solo attraverso la partecipazione a corsi di formazione sviluppati in modo da fornire ai partecipanti gli strumenti necessari per trattare i dati con consapevolezza ed evitare gli errori che potrebbero essere commessi nello svolgimento delle attività di competenza.
La formazione consente di sensibilizzare il personale, responsabilizzarlo, prepararlo a svolgere le operazioni di trattamento e, di conseguenza, permette di limitare i rischi derivanti dalla perdita di riservatezza, integrità e disponibilità dei dati, rientrando, di fatto, tra le misure la cui adozione si rende necessaria, anche ai fini dell’accountability.
La formazione tra le misure di sicurezza
La formazione rientra tra le misure di sicurezza organizzative che occorre adottare per garantire un adeguato livello di sicurezza, ai sensi dell’art. 32 del GDPR.
Infatti, sebbene la normativa vigente non individui delle misure minime obbligatorie ma rimetta al titolare e al responsabile la scelta delle misure adeguate per garantire un livello di sicurezza adeguato al rischio, una corretta valutazione non può escludere la necessità di ricorrere alla formazione del personale.
Ciò trova conferma nelle indicazioni fornite dall’ENISA (European Union Agency for Network and Information Security), che individua la formazione tra le misure di sicurezza organizzative da adottare già nel caso in cui l’esito della valutazione dei rischi dovesse essere basso.
Con specifico riferimento alla formazione, l’ENISA, nelle Guidelines for SMEs on the security of personal data processing pubblicate nel 2017, indica che, un’organizzazione dovrebbe:
- garantire che tutti i dipendenti siano adeguatamente formati e informati in merito ai controlli di sicurezza dei sistemi informatici relativi al loro lavoro quotidiano e che tutto il personale coinvolto nel trattamento dei dati personali sia adeguatamente informato sui requisiti e obblighi di legge in materia di protezione dei dati personali attraverso periodiche campagne di sensibilizzazione
- disporre programmi di formazione strutturati e regolari per il personale, inclusi programmi specifici per l’introduzione dei nuovi assunti alle questioni di protezione dei dati
- definire un piano di formazione con scopi e obiettivi definiti su base annuale
Le misure indicate dall’ENISA e le specifiche relative alla modalità di loro attuazione rappresentano un importante punto di riferimento per il titolare del trattamento, che però, in base al contesto specifico del trattamento, è sempre libero di adottare misure aggiuntive o di individuare diverse modalità di attuazione.
Così, ad esempio, normalmente è sufficiente pianificare un aggiornamento formativo annuale, ma ci possono essere dei casi in cui si renda necessario effettuare un corso di aggiornamento anche prima della scadenza fissata (si pensi, ad esempio, all’avvio di nuovi trattamenti o all’introduzione o alla modifica di procedure o sistemi di rilievo per i profili privacy).
Come organizzare la formazione privacy
Occorre programmare un primo corso di formazione privacy per il personale coinvolto nelle operazioni di trattamento e poi pianificare periodicamente corsi di aggiornamento.
L’attività formativa andrà svolta da chi ha competenze in materia e andrà pianificata tenendo conto della struttura organizzativa e dei trattamenti svolti.
La formazione deve infatti affrontare sicuramente le tematiche generali in materia di protezione dei dati personali, di interesse comune per tutti coloro che operano come persone autorizzate, ma esistono poi argomenti da affrontare con chi opera in determinate aree che richiedono competenze specifiche per gestire correttamente i dati personali e limitare il rischio di errori e violazioni. Così, ad esempio, si dovrà svolgere una formazione ad hoc per il personale che opera nell’area IT, per chi si occupa delle attività di marketing, per i dipendenti addetti alle risorse umane, per il personale sanitario.
Le scelte relative alla formazione competono, evidentemente, al titolare o al responsabile del trattamento, ciascuno per il proprio personale.
Se però l’organizzazione ha designato un DPO (Data protection officer), quest’ultimo dovrà essere coinvolto nella fase di pianificazione dell’attività formativa, in quanto l’art. 39, lett. b, del GDPR, individua, tra le competenze del DPO, quella di “sorvegliare l’osservanza del regolamento, di altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo”.
Se l’organizzazione è priva di DPO (perché esclusa dai soggetti che, sulla base dell’art. 37 del GDPR, devono nominarlo), si coinvolgeranno i soggetti, interni o esterni, che si occupano dei profili privacy e che potranno fornire il necessario supporto per la pianificazione dell’attività di formazione privacy.