Il Regolamento privacy europeo 679/16 (Gdpr) prevede l’obbligo della formazione per le pubbliche amministrazioni ed imprese in materia di protezione dei dati personali per tutte le figure presenti nell’organizzazione (sia dipendenti che collaboratori).
La formazione privacy di dipendenti e collaboratori però è spesso ritenuta una seccatura, tantochè i titolari delle aziende la ritengono una vera e propria perdita di tempo che ostacolerebbe solo lo svolgimento delle
ordinarie attività aziendali. Quando viene proposta da un DPO (responsabile della protezione dei dati personali) o da un consulente, il titolare formula due domande: se la formazione sulla privacy è davvero
necessaria e quanto tempo durerebbe la formazione stessa.
Prima di entrare nel merito di cosa sia e quali finalità abbia la formazione privacy è necessario fornire qualche precisazione. Nel GDPR ci si imbatte in due termini che spesso vengono usati come sinonimi: istruzione e formazione. Quando il legislatore utilizza la parola istruzione intende precisare che il titolare di un’organizzazione (es. Azienda, Studio del Consulente del Lavoro, Commercialista, Pubblica amministrazione, Scuola) si assicura di fornire indicazioni documentate su come trattare dati personali in sicurezza a chiunque agisca sotto la sua autorità ovvero, collaboratori a partita IVA e fornitori di servizi che trattano informazioni relative a persone. Insomma, la parola chiave dell’istruzione è documentazione delle istruzioni operative sul trattamento dei dati. Il termine istruzione diventa CATEGORICO quando la norma stabilisce che chiunque abbia accesso a dati personali non può trattarli se non è istruito dal titolare.
La parola formazione è una attività che ha come destinatari il personale del titolare e la formazione stessa rientra tra le misure di sicurezza organizzative che devono essere adottate per garantire la riservatezza,
l’integrità e la disponibilità dei dati personali trattati ogni giorno. Dunque, la formazione privacy di dipendenti e collaboratori è un obbligo a carico dell’imprenditore perché previsto esplicitamente dalla
normativa.
L’Autorità Garante per la Protezione dei dati personali ha suggerito di pianificare le attività di formazione distinguendo percorsi formativi di base, per apicali e specialisti. La formazione base, destinata a tutti gli
autorizzati a gestire informazioni personali, sia essi dipendenti che collaboratori, deve avere come obiettivo quello di fornire precise indicazioni su come trattare i dati, su quali precauzioni di sicurezza adottare e su
come interpretare alcune anomalie provenienti dalla pratica quotidiana. La formazione per figure apicali sarà destinata a dirigenti, quadri, responsabili di settore e coordinatori di team perché potrebbero ricoprire compiti specifici e quindi dover svolgere trattamenti particolari di dati personali. I corsi di formazione specialistici saranno utili per consentire di studiare, analizzare e fornire indicazioni in settori particolari con
una significativa giurisprudenza settoriale. Ad esempio, il settore IT con l’avvento del digitale e di recente dell’intelligenza artificiale è normato da leggi e provvedimenti anche di altre Autorità di vigilanza.
Per poter effettivamente ottemperare al GDPR e all’obbligo di formazione la stessa dovrebbe:
1. essere pianificata e rinnovata ogni anno;
2. essere svolta quando lo richiedono nuove norme (es. Whistleblowing – segnalazione illeciti);
3. avere una durata di almeno due ore per sessione (per gli aggiornamenti);
4. essere svolta con un eventuale test di verifica finale;
5. consentire il rilascio di una certificazione al partecipante;
6. essere documentabile (raccogliere , data ed ora);
7. non essere noiosa. La presentazione dovrà coinvolgere i partecipanti con domande e risposte.
8. programmata per tutti i nuovi assunti che tratteranno dati personali.
La formazione è la prevenzione, non la cura.
Commenti recenti