Metodologia della formazione
Un approccio interessante prevede l’implementazione della formazione in due fasi distinte, nella prima ci si sofferma sui caratteri e i principi generali che sono alla base del nuovo regolamento (elementi comuni per ogni organizzazione imprenditoriale), mentre nella seconda si analizzano gli aspetti specifici della singola azienda approfondendo, in primis, le procedure legate ai trattamenti attuati al suo interno.
Prima fase
Obiettivo della prima fase è l’acquisizione di concetti inerenti gli aspetti generali, i principi, i ruoli, le responsabilità e i processi previsti dal GDPR. Nello specifico:
- Introduzione al GDPR;
- Quanto vale la nostra privacy;
- I soggetti della “privacy” e della protezione dati;
- Principio di “accountability”;
- Trasparenza e diritti dell’interessato;
- Valutazione d’Impatto e Action Plan;
- Data Breach;
- Eventuale Test di apprendimento.
Seconda fase
La seconda fase sarà incentrata sulle specificità della singola azienda sfruttando al meglio le competenze interne.
Si potrebbero costituire dei piccoli team di lavoro, di poche unità, ciascuno dedicato a un aspetto caratteristico di uno o più tra i trattamenti eseguiti. Compito dell’azienda sarà formare adeguatamente questi team affinché possano mettere in relazione le disposizioni del GDPR con gli aspetti pratici legati all’attività ordinaria.
Questi gruppi avranno l’incarico di sintetizzare e condividere il know-how acquisito con il resto del personale direttamente coinvolto nel trattamento dei dati.
Gli obblighi formativi sono introdotti dall’art. 39.1.b del Regolamento, il quale prevede, tra i compiti del DPO, quello di “sorvegliare l’osservanza […] delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi […] la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo”, ed inoltre, l’art. 32.4 del Regolamento dispone che “chiunque abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento”.
Le aziende e le Pubbliche Amministrazioni, pertanto, devono implementare dei processi formativi che rispondano ai requisiti delle Misure di Sicurezza: testabili, verificabili e valutabili per chiunque gestisca dati personali e, in caso di violazione degli articoli 29 e 39, verranno applicate sanzioni amministrative pecuniarie che potrebbero essere rilevanti.
È fondamentale che il DPO e/o il Titolare del Trattamento promuovano una formazione efficace, come riportato nell’articolo 39, “del personale che partecipa ai trattamenti”, per esempio, chi raccoglie i dati dovrebbe saper illustrare al soggetto interessato che ne fa richiesta le finalità e l’utilizzo degli stessi fatto dall’azienda e dovrebbe conoscere quali errori evitare nella scelta delle password di accesso ai sistemi informatici, più in generale dovrebbe conoscere le policy di sicurezza definite dall’organizzazione.
Formazione obbligatoria
L’art.29 stabilisce che “Il responsabile del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del titolare del trattamento, che abbia accesso ai dati personali non può trattare tali dati se non è istruito in tal senso dal titolare …”
La formazione per i dipendenti è obbligatoria!
Istruire i dipendenti rimane precisa responsabilità del Titolare del Trattamento, sul Responsabile della Protezione dei Dati ricade il controllo dell’efficacia della formazione e il suo mantenimento nel corso del tempo.
La formazione sulla privacy è da fare, anche perché senza formazione e istruzione, il sistema di gestione sarà sempre in qualche modo carente e fragile, oltre al fatto che stando a quanto previsto dall’art.29, costituisce uno dei prerequisiti per poter accedere ai dati e di conseguenza per poter operare all’interno delle Organizzazioni interessate.
L’istruzione a livello pratico è volta ad evitare che eventuali condotte inconsapevoli od omissioni possano da una parte pregiudicare il funzionamento delle infrastrutture informatiche e dall’altra compromettere la sicurezza delle informazioni.
l’obbligo di formazione ricade in capo a coloro che trattano i dati all’interno dell’Organizzazione o dell’Ente considerato, ossia gli “incaricati al trattamento dei dati” del Codice Privacy.
Una conoscenza approssimativa delle regole da seguire per garantire il corretto utilizzo dei dati viene impartita anche attraverso le lettere di incarico che coloro che agiscono sotto l’autorità del Titolare ricevono.
Prescindendo dalla modalità in cui la formazione viene eseguita, è necessario tener presente che nel complesso dovrebbe essere finalizzata ad illustrare i rischi generali e specifici dei trattamenti dei dati, le misure organizzative e tecniche adottate, nonché le responsabilità e le sanzioni.
Infatti, dalle analisi condotte è emerso che l’osservanza degli obblighi formativi è di frequente oggetto di verifica da parte del Garante. In diversi casi, in sede ispettiva, sono stati richiesti i programmi e i piani di formazione, oltre a dispense, materiali erogati e test finali.
Le sanzioni
L’inosservanza degli obblighi formativi comporta l’applicazione dell’art.83, paragrafo 4, ossia la comminazione di una sanzione di natura pecuniaria a carico del Titolare, il cui valore potrebbe ammontare sino a 10 milioni di euro o, per le imprese, fino al 2 % del fatturato mondiale annuo dell’anno precedente se superiore.