gdpr

Data protection in azienda, come formare i dipendenti

L’errore umano è tra le cause principali di violazione dei dati. Ecco perché per incrementare il controllo sul trattamento del dato, è importante approntare una strategia di formazione, attraverso un piano adeguato di training e awareness rivolto al personale. Tutto quello che c’è da sapere

25 Nov 2019
Morena Osnato

Data Protection Officer del Gruppo Aviva in Italia


La formalizzazione di procedure sulla protezione dei dati è un ottimo punto di partenza per una azienda, ma non sarà sufficiente se il titolare del trattamento non si assicurerà che le stesse siano conosciute, comprese e applicate da tutto il personale che opera per suo conto.

Tra le cause principali delle violazioni di dati, infatti, ai primi posti viene sempre indicato l’errore umano, per questo motivo l’implementazione di una strategia di formazione, attraverso un piano adeguato di training e awareness rivolto al personale, incrementa il controllo sul trattamento del dato e aiuta il titolare a prevenire eventuali data breach.

Come definire e implementare la strategia di formazione

Per raggiungere questo obiettivo si suggerisce di procedere alla definizione della strategia di formazione tenendo in considerazione principalmente:

  • la normativa di settore applicabile,
  • l’analisi delle attività di trattamento elencate all’interno del Registro GDPR,
  • i rischi associati,
  • le misure di sicurezza a presidio e
  • le casistiche relative a violazioni di dati già verificatesi, coinvolgendo lo staff a tutti i livelli, incluse le eventuali parti terze, prestando particolare attenzione alla modalità di erogazione della formazione e al linguaggio utilizzato.

L’implementazione di una strategia di formazione adeguata prevede tre fasi:

  1. Definizione e approvazione,
  2. Implementazione,
  3. Archiviazione delle evidenze.

Definizione e approvazione

  • Organizzare un gruppo di lavoro dedicato composto almeno da: Responsabile della Protezione dei Dati, Chief Data Officer, Chief Information Security Officer, Funzione Formazione e Funzione Comunicazione;
  • Identificare il target di riferimento: prevedere una formazione dedicata, quanto meno per i seguenti destinatari: (i) tutto lo staff, (ii) soggetti designati (c.d. responsabili interni delle attività di trattamento, data owner), (iii) alta direzione e componenti degli organi amministrativi; (iv) funzione privacy e data governance, (v) Responsabile della Protezione dei dati (DPO) e (vi) istruzioni per i responsabili (esterni) del trattamento;
  • Predisporre materiale ad hoc a seconda del target identificato. È fondamentale trattare esempi pratici che tengano in considerazione l’operatività di ogni funzione, per questo motivo è consigliabile definire il materiale con il supporto dei soggetti designati. È preferibile organizzare il training in aula, per favorire il confronto e per rispondere in tempo reale ad eventuali dubbi o richieste di chiarimento. Qualora non sia possibile organizzare il training in aula, si suggerisce comunque di fornire ai partecipanti i dati di contatto di personale esperto (es. mail del DPO). Per le realtà internazionali prevedere materiale tradotto in base al mercato di riferimento;
  • Presentare la strategia di training all’alta direzione, corredata dal parere del DPO e chiedere la valutazione e l’approvazione, nel rispetto del principio di accountability, assicurandosi di avere a disposizione risorse sufficienti per l’erogazione: come già sottolineato, il controllo sul dato e la prevenzione di violazioni trova nella formazione efficace un suo elemento fondamentale.

Implementazione

  • Stabilire le date del piano di erogazione della formazione in tempo utile per consentire la pianificazione del training almeno su base annuale, tenendo conto di eventuali sessioni di recupero per gli assenti;
  • Definire il contenuto del materiale, corredando ogni tema da esempi pratici e familiari per il target di riferimento, avendo cura di utilizzare un linguaggio comprensibile; si suggerisce di trattare per tutti i target i seguenti aspetti:
  • Introduzione normativa e ambito di applicazione, con specifico riferimento ai ruoli e alle responsabilità, anche con riferimento al Gruppo di appartenenza, definizione di dato personale e categorie particolari di dati corredate da esempi pratici rispetto all’attività effettivamente svolta dal titolare;
  • Presentazione delle procedure sulla protezione dei dati formalizzate dal titolare, comprensive dei relativi processi;
  • Illustrazione del contenuto e del processo di aggiornamento del Registro delle Attività di Trattamento, caratteristiche del trattamento, base giuridica, misure di sicurezza e determinazione del livello di rischiosità di ogni singola voce;
  • Definizione della metodologia di rischio applicabile per le valutazioni di impatto;
  • Consegna dell’informativa agli interessati e aggiornamento della stessa;
  • Descrizione del processo di riscontro alle richieste di esercizio dei diritti da parte degli interessati;
  • Descrizione della procedura da seguire qualora ci si trovi di fronte ad una potenziale violazione dei dati: a chi comunicarlo, entro quanto tempo, quali informazioni trasferire; fornire esempi concreti di eventi che potenzialmente possono essere qualificabili quali violazione;
  • Definizione di “parte terza”, quando è necessario procedere con la sottoscrizione di lettera di nomina a responsabile del trattamento, particolare attenzione ai trasferimenti al di fuori dello spazio economico europeo;
  • Descrizione del processo sulla conservazione dei dati, cancellazione e minimizzazione;
WHITEPAPER
Come semplificare il sistema di gestione delle identità digitali?
Sicurezza
IAM

  • Prevedere la compilazione di un registro dei partecipanti e verificare il completamento del corso da parte di tutti i destinatari identificati;
  • Prevedere un test finale per verificare la comprensione degli argomenti trattati;
  • Aggiornare l’alta direzione sul completamento del piano;
  • Prevedere un eventuale rafforzamento del training allo staff (o istruzioni alle terze parti), soprattutto qualora si verifichino eventi di rischio o vere e proprie violazioni, quale misura di cui si dispone l’adozione, anche ai sensi dell’art. 33 GDPR.

Archiviazione delle evidenze

Archiviare la documentazione attestante l’approvazione della data training strategy, il materiale e il registro dei partecipanti ed i test con risultato finale per target di riferimento, in linea con la policy sulla conservazione dei dati.

Gli adempimenti formativi non si esauriscono con il completamento del test finale: è consigliabile inviare su base periodica delle newsletter a tutto lo staff, contenenti, a titolo di esempio: approfondimenti in ambito di tutela dei dati personali, consigli sul corretto trattamento degli stessi e messaggi di reminder sui dispositivi aziendali (es. messaggi di log-on).

Attraverso la consultazione quotidiana dei siti istituzionali delle Autorità e di settore è possibile venire a conoscenza delle molteplici opportunità di formazione offerte sul tema, sempre utili soprattutto ai Responsabili della protezione dei dati e al personale che si occupa di protezione dei dati per restare aggiornati e beneficiare di occasioni di confronto.

@RIPRODUZIONE RISERVATA

Articolo 1 di 2