Formazione del personale
Cosa si intende?
Tra le varie prescrizioni introdotte dal nuovo Regolamento europeo per il trattamento dei dati personali (GDPR), ve n’è una relativa all’obbligo della formazione del personale in ambito privacy.
Tale attività viene considerata marginale rispetto alle altre contenute nel GDPR, ma tale valutazione si rivela poco lungimirante. All’obbligo della formazione del personale in ambito privacy è stata riservata poco attenzione da parte dell’azienda. Si tratta invece di un’attività strategica che, se eseguita con precisione e pertinenza, produce dei determinanti vantaggi competitivi rispetto ai concorrenti.
È noto, infatti, che con le nuove norme Ue la protezione dei dati personali assume un’importanza sempre maggiore nei processi aziendali e delle Pubbliche Amministrazioni. Una corretta gestione dei dati personali diventa pertanto imprescindibile non solo da un punto di vista “tecnologico” ma anche e soprattutto per quello “organizzativo”.
La formalizzazione di procedure sulla protezione dei dati è un ottimo punto di partenza per una azienda, ma non sarà sufficiente se il titolare del trattamento non si assicurerà che le stesse siano conosciute, comprese e applicate da tutto il personale che opera per suo conto.
Tra le cause principali delle violazioni di dati, infatti, ai primi posti viene sempre indicato l’errore umano.
Per questo motivo, l’implementazione di una strategia di formazione, attraverso un piano adeguato di formazione e consapevolezza rivolto al personale, incrementa il controllo sui trattamenti dei dati personali e aiuta il titolare a prevenire eventuali data breach o comunque condotte che lo espongono a responsabilità.
Come definire e implementare la strategia di formazione
Per raggiungere questo obiettivo procediamo alla definizione della strategia di formazione tenendo in considerazione principalmente:
– le norme del settore
– l’analisi dei trattamenti eseguiti e i rischi ad essi associati
– le misure di sicurezza consigliabili
– le casistiche relative a violazioni di dati già verificatesi, coinvolgendo lo staff a tutti i livelli, incluse le eventuali
– parti terze, prestando particolare attenzione alla modalità di erogazione della formazione e al linguaggio utilizzato
Mettiamo in quindi in atto l’implementazione di una strategia di adeguata formazione in tre fasi:
– Definizione e approvazione
– Implementazione
– Archiviazione delle evidenze