La formazione sul GDPR è obbligatoria? Assolutamente si, leggi perchè!

Il GDPR, tra i tanti aspetti innovativi, ha il merito di aver riconosciuto concretamente l’importanza della formazione nelle procedure di adeguamento alla recente normativa in materia di trattamento e protezione dei dati personali (Regolamento Europeo 679/2016).

Il regolamento in questione infatti, in più articoli, sancisce l’obbligo formativo dei dipendenti incaricati di trattare dati personali. Pur riconoscendo il valore fondamentale della formazione, non ne specifica le modalità e/o contenuti, spetta perciò al Titolare del Trattamento, e quando presente anche al DPO, sceglierne la forma e i programmi affinché essa risulti efficace.

Ecco perché molte aziende decidono di affidarsi a professionisti come Infor Piacenza per organizzare le attività formative in maniera ottimale.

La centralità della formazione è affrontata, seppur in maniera non approfondita e dettagliata, da alcuni alcuni articoli in particolare.

Nello specifico, principalmente si segnala l’art. 29 del sopra citato regolamento, che prevede, infatti, che “il responsabile del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del titolare del trattamento, che abbia accesso ai dati personali non può trattare tali dati se non è istruito in tal senso dal titolare …”.

Tale rilevanza è confermata anche dall’art. 32, “Sicurezza del trattamento” paragrafo 4, che prevede che “il titolare del trattamento ed il responsabile del trattamento fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri”.

Anche il data protection officer, c.d. DPO, figura obbligatoria solo per determinate realtà aziendali, deve, ai sensi dell’art. 39 del regolamento, occuparsi della “formazione del personale che partecipa ai trattamenti ed alle connesse attività di controllo”.

L’importanza dell’obbligo formativo viene ribadita anche dell’art. 83 par 4 del Regolamento che prevede, in caso di mancata erogazione della formazione, una rilevante sanzione amministrativa pecuniaria “fino a 10 milioni di euro o, per le imprese, fino a 2 % del fatturato mondiale annuo dell’anno precedente se superiore”.

Le aziende, stanno iniziando finalmente a riconoscere l’importanza che la formazione ha nell’essere compliance alla nuova normativa.

Poter contare su un personale adeguatamente formato è, infatti, l’elemento fondamentale per processi aziendali veramente efficaci, soprattutto in merito alla protezione dei dati. L’efficacia della propria azienda in questo ambito dipende inevitabilmente da una compagine aziendale culturalmente predisposta ad un approccio eticamente corretto al trattamento dei dati personali.

L’importanza di un personale aggiornato emerge anche dalle recenti affermazione del Presidente dell’autorità garante per la protezione dei dati personali, Antonello Soro, che ha dichiarato: “Consapevolezza e regolamentazione possono costituire le basi per restituire un ruolo alla persona e in questo sta una nuova etica: non pensare che la delega all’algoritmo, alla macchina, all’innovazione sostituisca la responsabilità che sta in capo alla persona, a chi fa uso delle tecnologie, che non deve essere usato.”

Proprio per questo la privacy non può più essere considerata come un mero adempimento burocratico da effettuare meccanicamente, ma deve essere vista come un valore aggiunto che, se gestito correttamente, può arrichire la propria azienda e migliorarne l’immagine e i servizi offerti.

Anche e soprattutto grazie all’introduzione del principio di accountability è necessario che ci sia consapevolezza in ogni attività legata a dati personali e che ogni azione dia prova che sia stato fatto tutto il necessario per poter proteggere adeguatamente i dati. Ogni dipendente che entra in contatto con questa tipologia di dati deve perciò assumere concretamente un atteggiamento responsabile e consapevole.

La formazione quindi concretizza il principio di accountability, ossia di responsabilizzazione del Titolare del trattamento intesa come capacità di dimostrare di avere adottato adeguate misure di sicurezza.

E’ necessario perciò, in virtù di tale principio, dimostrare l’effettivo svolgimento di attività volte alla formazione di ogni dipendente.

Il ruolo svolto da ogni singola persona, sia nella sua accezione di proprietaria dei dati che di incaricata al trattamento degli stessi, è strategico ed essenziale nell’ambito della protezione dei dati personali. Il fattore umano si trova in prima linea per garantire la compliance e assicurare un efficace livello di protezione.

Si può affermare perciò che la misura di sicurezza più importante è proprio la formazione, che serve per aumentare la consapevolezza e la conoscenza delle minacce a cui si può essere sottoposti.

Un personale adeguatamente formato in materia potrà naturalmente mitigare i rischi connessi al trattamento dei dati.

La formazione infatti deve essere improntata in modo tale da far conoscere i rischi generali e specifici che derivano dal trattamento di dati, deve essere idonea per approfondire le misure organizzative, tecniche ed informatiche adottate dall’azienda, nonché efficace a far conoscere le responsabilità e le sanzioni che possono seguire ad un trattamento disallineato dalla normativa.

L’adempimento degli obblighi formativi, compiuto attraverso azioni chiare e tracciabili, è inoltre oggetto degli accertamenti ispettivi. Nel corso dei controlli infatti l’Autorità Garante può prendere visione dei programmi formativi in generale, considerati quali prove degli strumenti utilizzati per assicurarsi la formazione del proprio personale. Il Garante ha raccomandato, infatti, di istituire un piano di formazione e di predisporre, per eventuali verifiche ispettive, la documentazione che rappresenti l’evidenza della formazione erogata, come ad esempio dispense e risultati dei test di apprendimento.

Altrettanto importante sarà poter riscontrare l’utilizzo di idonee istruzioni operative in funzione dei profili assegnati alle persone autorizzate ed ai relativi livelli di autorizzazione. È fondamentale impartire alle persone autorizzate le nozioni circa il corretto utilizzo dei dati personali per evitare la divulgazione illecita o l’utilizzo erroneo degli stessi in relazione alle finalità consentite.

Una corretta formazione è quindi imprescindibile.

Infor Piacenza, molto sensibile e attenta alla tematica, gode, all’interno del suo staff, della presenza di professionisti nell’ambito della formazione, che studiando le esigenze e le richieste di ogni singolo cliente elaborano piani formativi adeguati ad ogni specifica realtà aziendale.

L’offerta formativa in ambito GDPR proposta da Infor Piacenza si compone principalmente di due modalità: la prima consiste in lezioni, tenute da un esperto in materia, da seguire tradizionalmente in aula e la seconda modalità prevede invece la possibilità di seguire un corso in e-learning. Ciascuna modalità offre rilevanti vantaggi per chi ne usufruisce, essendo che entrambi i piani formativi sono caratterizzati da programmi pertinenti, puntuali, brevi ma dinamici e accattivanti.

Entrambe le offerte formative, tramite un approccio teorico-pratico, consentono a tutto il personale aziendale di acquisire consapevolezza e sicurezza nelle azioni che compiono quotidianamente trattando dati personali. Al termine del percorso, a seguito di un breve test di valutazione, sarà rilasciato un attestato di partecipazione.

Da questo punto di vista la formazione è quindi un’opportunità di crescita per aumentare la consapevolezza tra gli operatori dei rischi connessi al trattamento dei dati, migliorando i processi, i servizi erogati, la competitività ed evitando danni reputazionali e sanzioni amministrative. Un’opportunità non solo per l’azienda ma anche personale, che consente ad ogni singolo dipendente di aumentare e migliorare quelle competenze utili anche al di fuori dell’ambito lavorativo. Ogni azienda ha, quindi, il compito di stabilire non solo i limiti entro i quali dipendenti e collaboratori hanno diritto di accedere ai dati personali sulla base delle mansioni loro assegnate ma anche il dovere di garantire all’intero personale una formazione costante e aggiornata, contribuendo così a creare una cultura della privacy.