Con l’arrivo del Nuovo Regolamento Europeo in materia di protezione dei dati personali, che diventerà direttamente applicabile il 25 maggio 2018, circola con maggiore insistenza la domanda se la formazione sulla privacy è obbligatoria.
In questo articolo cercheremo di dare una risposta il più possibile esaustiva a questa domanda.
Anticipiamola: possiamo dire con ragionevole certezza che la formazione privacy nella sostanza è obbligatoria. Tuttavia, è più importante comprendere perché non solo la formazione privacy “s’ha da fare”, ma anche perché è necessaria ed opportuna.
Cosa stabilisce il Nuovo Regolamento UE sull’obbligo di formazione sulla privacy?
Iniziamo col vedere cosa stabilisce il Nuovo Regolamento Europeo in merito all’obbligo di formazione privacy:
Articolo 39: è previsto che tra i compiti del responsabile della protezione dei dati (il Data Protection Officer, scopri qui chi è e se la tua azienda deve nominarlo), figuri quello di sorvegliare le politiche adottate dal titolare non solo in materia di trattamento dei dati ma anche di sensibilizzazione e formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo.
Articolo 32: al comma 4 si trova scritto che Il titolare del trattamento e il responsabile del trattamento fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri.
A ben vedere, leggendo i due articoli si parla da una parte di formazione, dall’altra di istruzione.
La differenza?
Diciamo che entrambe rappresentano un concetto unico, seppur attraverso sfumature differenti. Il concetto chiarissimo è che il personale che tratta dati deve farlo con cognizione di causa, conoscenza e competenza sufficienti a garantire la riservatezza e protezione dei dati e delle informazioni.
Le sfumature?
L’istruzione punta più sull’apprendimento tecnico-pratico che, non solo consente di apprendere una serie di nozioni relative ad una materia, ma permette anche di imparare l’esercizio nella pratica di una particolare attività.
La formazione persegue più lo sviluppo delle competenze (secondo metodi strutturati, comprovati ed efficaci) per dare letteralmente “forma” ad una persona nel senso di contribuire a stimolarne la crescita.
L’una un po’ più dal taglio pratica, l’altra un po’ più volta a creare il bagaglio di conoscenze teoriche: entrambe comunque indispensabili anche nel modo privacy.
Dunque, stando alle disposizioni del Nuovo Regolamento Europeo, qual è la risposta corretta alla domanda se “la formazione privacy è obbligatoria”?
La formazione sulla privacy sostanzialmente è da fare. Di più, la formazione privacy si rivela comunque necessaria e, soprattutto, è un’opportunità che le aziende non possono perdere.
Da questa prospettiva, la domanda migliore che un’azienda dovrebbe porsi non è se esiste “un obbligo di formazione sulla privacy”, ma “quali sono le reali opportunità che riserva la formazione sulla privacy”.
Del resto, senza doverci più convincere della sua obbligatorietà, bisogna tenere sempre presente il presupposto che, senza formazione e istruzione (teorico e pratica), il sistema di gestione privacy sarà sempre in qualche modo carente e fragile.
Perché chi tratta i dati sono le persone.
E le persone, per ben operare, hanno bisogno assoluto di conoscenze e competenze.
Chi ha l’obbligo di formazione sulla privacy?
Assodato che la formazione sulla privacy è in qualsiasi caso da farsi, chi si deve formare?
Stando alla logica del Regolamento, ma anche al comune buon senso, deve formarsi sulla privacy chiunque tratta dati: per intenderci, quelli che ancora oggi si chiamano incaricati del trattamento dei dati e che continueremo a chiamare così ancora a lungo.
Ma anche chi assume il ruolo di responsabile nella gestione del sistema privacy, il quale avrà evidentemente bisogno di una “cassetta degli attrezzi” più fornita rispetto al semplice incaricato, dovendo gestire e coordinare un sistema privacy che, per quanto semplice sia, è sempre comunque un sistema articolato che si basa sui concetti di pianificazione esecuzione monitoraggio e controllo.
Ci sono delle buone pratiche di riferimento a cui ispirarsi per strutturare un efficace percorso di formazione in ambito privacy?
Si può dire che il primo meritevole accenno è alla norma ISO 27001/2014, riguardante i sistemi di gestione della sicurezza delle informazioni. Questa norma molto affine ai concetti della privacy perché è proprio volta a garantire la costruzione di meccanismi che consentano di garantire la sicurezza dei dati e delle informazioni sia sotto il profilo delle misure tecniche ed organizzative, che sotto il profilo delle risorse umane che gestiscono tali informazioni.
Ebbene, al requisito 7.2 tale norma stabilisce che:
· L’azienda definisca il fabbisogno formativo per coloro che effettuano attività impattanti sulla sicurezza delle informazioni
· Le persone interessate ricevano adeguata istruzione formazione ed addestramento proprio sulla base di tale fabbisogno
· Si tenga traccia delle azioni intraprese a tale fine
Se poi si volesse un aiuto più di tipo “tecnico” nel definire il processo formativo in materia di privacy, potremmo attingere ai contenuti della norma UNI EN ISO 10015 che si focalizza proprio sul processo di progettazione ed erogazione della formazione in azienda. Fondamentale per tale norma è affinare metodo e strumenti per:
· Definire in maniera chiara le esigenze di formazione all’interno dell’organizzazione (nel nostro caso parliamo di formazione in materia di privacy e quindi si tratta di individuare chi ha bisogno di quali conoscenze per gestire il trattamento dei dati?)
· Definire una strategia ed un metodo di progettazione e pianificazione della formazione (ogni quanto fare formazione, con quali modalità, contenuti, durata?)
· Erogare la formazione necessaria scegliendo in base a contenuti e destinatari i metodi e gli strumenti più efficaci (formazione d’aula, e-learning…?)
· Monitorare e valutare i risultati ottenuti attraverso il processo formativo scegliendo anche in questo caso delle tecniche di verifica dell’efficacia oggettive (test a fine corso? Audit interno ritagliato su aspetti privacy? Follow up a distanza di tempo dal corso?)
Chiaramente alla base di tutto questo processo c’è l’attenzione a definire le competenze necessarie in azienda (nel nostro caso per gestire la privacy e per trattare in maniera sicura i dati). Come stabilisce anche la norma 27001.
D’altra parte, le variabili che possono influenzare la richiesta di competenze sono:
· Cambiamenti organizzativi (una persona, ad esempio, cambia mansione e in tale cambiamento anche gli aspetti privacy che si trova a gestire sono notevolmente maggiori e più delicati, oppure viene introdotto un nuovo software che porta al trattamento elettronico di dati che prima erano trattati esclusivamente in forma manuale e quindi soggetti a rischi differenti, ecc.)
· Turn over dei dipendenti (incaricati nuovi che trattano dati comportano nuove persone da formare)
· Incremento e miglioramento del sistema di gestione (cambiano i processi, si ammodernano e di conseguenza anche le modalità di trattamento e le misure di sicurezza variano)
· Considerazione di tipo economico
· Cambiamento legislativi (nuove normative privacy, provvedimenti del garante Italiano, ecc.)
Nel nostro caso il cambiamento legislativo la fa da padrone. Il Nuovo Regolamento Europeo è, infatti, la novità più importante del panorama privacy a livello europeo che ci richiede e richiederà di riprendere in mano la formazione al personale innovandola di contenuti nuovi.
Tutto questo, tutta questa organizzazione del processo formativo sulla privacy, non sarebbe possibile senza il coinvolgimento delle risorse, degli incaricati del trattamento dei dati.
Non solo l’impegno, ma il coinvolgimento vero e proprio, anche nel comprendere quali sono i passaggi più delicati dal punto di vista privacy che ognuno si trova ad affrontare e quali siano le conoscenze e competenze necessarie per affrontarli dunque al meglio.
Qual è la differenza tra “coinvolgimento” e “impegno”?
È come una colazione a base di uova e prosciutto: la gallina era coinvolta – il maiale era impegnato” (Anonimo)
E se abbiamo già fatto formazione privacy con la vecchia normativa, a cui presto diremo addio, occorre proprio rifare tutto?
Sicuramente occorre un refresh in quanto il Nuovo Regolamento Europeo Privacy mantiene alcuni passaggi fondamentali della normativa precedente (ed ancora in vigore) ma allarga molto l’orizzonte e introduce nuovi concetti.
E poi, dopo molti anni, è sempre bene rinverdire alcuni concetti e regole e comportamenti da adottare in azienda.
Del resto conoscere è il primo passo per ben operare.
Conoscere avendo garanzia che la conoscenza è stata trasmessa in maniera efficace, è il primo passo per ben organizzare un sistema di gestione privacy.
Se la formazione sulla privacy è obbligatoria, cosa fare? Ecco le soluzioni di GruppoRES
GruppoRES, proprio per dare risposte alle domande sopra riportate, ha progettato un nuovissimo corso per chi si occupa della privacy in azienda, un corso on line per responsabili del sistema focalizzato sul Nuovo Regolamento Europeo.
Non è uno di quei corsi generici che parlano di una privacy che potrebbe andare bene “per tutte le stagioni”, ma è un corso che affronta tematiche modulari molto specifiche: videosorveglianza, trasferimento di dati all’estero, privacy e marketing, privacy nel web, e molto altro ancora.
È un corso pensato e progettato da chi ormai da molti anni fa consulenza privacy in aziende, sapendo bene come la teoria normativa si scontri quasi sempre irrimediabilmente con la concretezza e l’elasticità richieste dalla pratica.
Per questo motivo, durante il corso si può scaricare gratuitamente del materiale (tra cui ad esempio dei modelli di informative allineate al nuovo Regolamento Europeo) da utilizzare in azienda.
Clicca qui per scoprire tutti dettagli e iscriverti al Corso On-Line per Responsabili Privacy
Ma non finisce qui.
A questo corso ne abbiamo affiancato un secondo dedicato a tutti gli incaricati del trattamento dei dati, per coloro che nella gestione quotidiana di dati e informazioni devono conoscere le nuove regole contenute nel regolamento europeo e le relative procedure da seguire.
Anche questo corso è focalizzato sul Nuovo Regolamento Europeo, permette di scaricare gratuitamente del materiale da utilizzare in azienda ed è rivolto a chi vuole avere tutti gli strumenti necessari per gestire con competenza le problematiche privacy alla luce delle nuove normative.
Clicca qui per scoprire tutti i dettagli e iscriverti al Corso Privacy On-Line Base