privacy

La formazione al GDPR, così tanto trascurata: ecco come farla

All’obbligo della formazione del personale in ambito privacy è stata riservata finora una scarsa attenzione, eppure un personale formato e culturalmente predisposto è la chiave per processi aziendali veramente efficaci. Vediamo quali sono gli obblighi introdotti dal Gdpr e i vantaggi e gli obiettivi della formazione

19 Dic 2018
Antonio Di Pietro

Trainer and Consultant Senior presso iDocet

privacy_272132453

Tra le varie prescrizioni introdotte dal nuovo Regolamento europeo per il trattamento dei dati personali (GDPR), ve n’è una, molto spesso sottovalutata, relativa all’obbligo della formazione del personale in ambito privacy.

E’ noto, infatti, che con le nuove norme Ue la privacy assume un’importanza sempre maggiore nei processi aziendali e delle Pubbliche Amministrazioni, e diventa imprescindibile una corretta gestione di tutto ciò che riguarda i dati personali, non solo da un punto di vista “tecnologico” ma anche e soprattutto “organizzativo”.

L’obbligo della formazione del personale in ambito privacy

All’obbligo della formazione del personale in ambito privacy è stata riservata una scarsa attenzione anche dalle principali fonti di informazione in questo settore: su riviste online, siti specializzati, blog è possibile trovare una infinità di articoli riguardanti gli aspetti tecnici, pratici o legali ma pochissimi legati alla formazione.

Digital event
Torna il Cybersecurity 360 Summit strategia nazionale di cybersicurezza. Online, 27 ottobre
Sicurezza
Sicurezza dei dati

Eppure gli obblighi formativi sono introdotti dall’art. 39.1.b del Regolamento, il quale prevede, tra i compiti del DPO, quello di “sorvegliare l’osservanza […] delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi […] la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo”, ed inoltre, l’art. 32.4 del Regolamento dispone che “chiunque abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento”.

A tal fine, sempre il DPO, concorda, o dovrebbe concordare, con il Titolare e il Responsabile del Trattamento un piano di formazione privacy, che preveda corsi periodici per personale e collaboratori.

Le aziende e le Pubbliche Amministrazioni, pertanto, devono implementare dei processi formativi che rispondano ai requisiti delle Misure di Sicurezza: testabili, verificabili e valutabili per chiunque gestisca dati personali e, in caso di violazione degli articoli 29 e 39, verranno applicate sanzioni amministrative pecuniarie che potrebbero essere rilevanti.

Non è più possibile considerare la privacy e la protezione dei dati come un mero adempimento documentale e burocratico, perché, come vedremo, l’efficacia dei processi aziendali passa anche attraverso un personale formato e culturalmente predisposto: occorre creare una vera cultura della privacy all’interno della propria organizzazione.

Appare velleitario lo sforzo di adempiere tutti i passaggi formali della conformità al GDPR, sostenendo anche dei costi, se poi si sottovaluta il valore di un’appropriata formazione del personale che vada a mitigare il rischio di possibili data breach.

Per tale motivo è fondamentale che il DPO e/o il Titolare del Trattamento promuovano una formazione efficace, in primis, come riportato nell’articolo 39, “del personale che partecipa ai trattamenti”, per esempio, chi raccoglie i dati dovrebbe saper illustrare al soggetto interessato che ne fa richiesta le finalità e l’utilizzo degli stessi fatto dall’azienda, oppure, dovrebbe conoscere quali errori evitare nella scelta delle password di accesso ai sistemi informatici e più in generale dovrebbe conoscere le policy di sicurezza definite dall’organizzazione.

Quali caratteristiche per una formazione efficace

Una corretta formazione è quindi imprescindibile.

Il GDPR pur prescrivendo l’obbligo di formazione non ne specifica modalità e contenuti, spetta quindi al DPO e/o al Titolare del Trattamento sceglierne la forma e i programmi affinché essa risulti efficace, a tal fine, vale la pena evidenziare alcune caratteristiche essenziali:

  • Formazione come opportunità di crescita:
    i regolamenti in generale suonano sempre come noiosi ma il GDPR deve essere considerato da tutti come un’opportunità di crescita personale e non solo per l’azienda, in un mondo dove la condivisione delle informazioni è qualcosa che va oltre la propria attività lavorativa.
  • Formazione pertinente e puntuale:
    il personale ha bisogno di conoscere la logica dei processi della propria organizzazione solamente nella misura in cui ne è coinvolto, non ha certo bisogno di conoscerne i minimi dettagli.
  • Formazione breve e accattivante:

spesso la formazione può essere inefficace se erogata con modalità e tempi inappropriati, sono indispensabili sessioni brevi, materiale accattivante con molte immagini ed esempi che possano alleggerire anche gli argomenti più impegnativi e catturare l’attenzione del discente.

Creare una cultura della privacy attraverso la formazione, i vantaggi

Creare una cultura della privacy attraverso un’adeguata formazione porta indubbi vantaggi:

  • Fidelizzazione del cliente o cittadino nel caso delle Pubbliche Amministrazioni:

se l’attenzione per la privacy e la protezione dei dati personali sono tenuti nella giusta considerazione dall’azienda e di questo se ne da evidenza all’esterno, il cliente/cittadino si sentirà maggiormente protetto e rassicurato.

  • Maggiore qualità dei prodotti/servizi:

creare prodotti/servizi che hanno a che fare con i dati personali utilizzando il principio del privacy by design da un valore aggiunto al prodotto/servizio stesso.

  • Personale motivato:

acquisire know-how su privacy e sicurezza informatica fa prendere coscienza dei rischi che si corrono trascurando o sottovalutando questi aspetti anche nella vita privata, per esempio sui social network. Sono sempre più frequenti truffe informatiche o attacchi hacker per cui essere preparati sarà motivo di soddisfazione.

  • Riduzione del rischio di sanzioni e tutela della “reputation”:

personale formato correttamente mitiga il rischio di data breach e il conseguente danno all’immagine aziendale.

Gli obiettivi della formazione

L’obiettivo delle attività di formazione dovrebbe essere quello di fornire strumenti metodologici e pratici che soddisfino tutti i requisiti normativi di conformità al GDPR.

Un approccio interessante, soprattutto per grandi realtà aziendali, prevede l’implementazione della formazione in due fasi distinte, nella prima ci si sofferma sui caratteri e i principi generali che sono alla base del nuovo regolamento (elementi comuni per ogni organizzazione imprenditoriale), mentre nella seconda si analizzano gli aspetti specifici della singola azienda approfondendo, in primis,  le procedure legate ai trattamenti attuati al suo interno.

Prima fase

Obiettivo della prima fase è l’acquisizione di concetti inerenti gli aspetti generali, i principi, i ruoli, le responsabilità  e i processi previsti dal GDPR. Nello specifico:

  • Introduzione al GDPR;
  • Quanto vale la nostra privacy;
  • I soggetti della “privacy” e della protezione dati;
  • Principio di “accountability”;
  • Trasparenza e diritti dell’interessato;
  • Valutazione d’Impatto e Action Plan;
  • Data Breach;
  • Eventuale Test di apprendimento.

Seconda fase

La seconda fase sarà incontrata sulle specificità della singola azienda sfruttando al meglio le competenze interne.

Si potrebbero costituire dei piccoli team di lavoro, di poche unità, ciascuno dedicato a un aspetto caratteristico di uno o più tra i trattamenti eseguiti. Compito dell’azienda sarà formare adeguatamente questi team affinché possano mettere in relazione le disposizioni del GDPR con gli aspetti pratici legati all’attività ordinaria.

Questi gruppi avranno l’incarico di sintetizzare e condividere il know-how acquisito con il resto del personale direttamente coinvolto nel trattamento dei dati.

Questo approccio garantisce due risultati:

  • la costituzione di un team permanente con conoscenze specifiche, focal point aziendali, da consultare per dubbi e chiarimenti sulla materia oppure semplicemente per poter avere linee guida da seguire nel caso in cui si verifichi una criticità;
  • una diffusione rapida e capillare delle disposizioni oggetto del GDPR tra il personale che opera sui trattamenti.

Tale approccio, può essere applicato con ottimi risultati  anche per le piccole e medie aziende  ispirandosi al medesimo principio: dapprima una formazione generale poi, una formazione specifica sui trattamenti eseguiti coinvolgendo le “expertise” interne per una successiva divulgazione al resto dell’azienda.

Formazione, i vantaggi dell’e-learning

Un valido strumento di supporto alla realizzazione del suddetto sistema formativo è l’utilizzo dell’e-learning.

Questo strumento può essere usato sia per erogare i contenuti previsti nella prima fase sia per divulgare la sintesi dei risultati dei gruppi di lavoro, soprattutto quando parliamo di aziende di grandi dimensioni con un’organizzazione capillare articolata in diverse direzioni spesso distribuite sul territorio (succursali, filiali o poli).

Avere a disposizione un contenuto fruibile online permette di avere una serie di vantaggi:

  • formazione sistematica, coerente e ripetibile;
  • facilità di accesso, contenuti disponibili da un browser oppure da una app;
  • costi ridotti per l’erogazione e la partecipazione, anche per partecipanti “distaccati” in sedi diverse;
  • può essere erogato per i dipendenti e come parte di un processo di induzione per i nuovi assunti.

In base all’esperienza personale come formatore posso concludere che la chiave per accendere l’interesse e l’attenzione dei partecipanti ai corsi è quella di coinvolgerli direttamente parlando degli aspetti legati alla privacy riconducendo concetti, che potrebbero sembrare all’apparenza astratti e teorici, a situazioni concrete legate alla vita di ciascuno di noi, si ha gioco facile quando si parla di Facebook o di Google per esempio.

Invito sempre a porre l’attenzione sulle infinite implicazioni che si potrebbero avere rilasciando in rete informazioni personali senza avere la consapevolezza dell’effettivo uso che ne fanno i grandi player, ai quali forniamo, spesso troppo frettolosamente, il nostro consenso senza porre la dovuta considerazione alle condizioni e i termini di utilizzo.

Ecco, la salvaguardia della privacy e la protezione dei dati bisogna metterla in pratica sin dalla mattina quando accediamo per la prima volta su Facebook!

WHITEPAPER
Certificazioni GDPR: tutti i vantaggi per le organizzazioni che vi aderiscono
Legal
Privacy
@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articoli correlati