MAGAZINE – Per tutti i dipendenti e i collaboratori delle pubbliche amministrazioni e delle aziende, la formazione in materia di privacy rappresenta un obbligo previsto dal GDPR, vale a dire il Regolamento UE n. 679 del 2016. Proprio tale testo normativo, infatti, ha consolidato e reso ancora più evidente il valore della formazione, che è diventata una misura di sicurezza appannaggio non solo del Data Protection Officer o di altre figure specializzate, ma di tutti. Non solo: se non si seguono i corsi sulla privacy previsti per la formazione dedicata, si viola la legge. Tale infrazione viene punita con una sanzione amministrativa che può raggiungere il 4% del fatturato aziendale o i 20 milioni di euro.
La situazione in Italia
Il valore della formazione in materia di privacy ha subìto una spinta significativa proprio da quando è entrato in vigore il GDPR, che ha sancito tale obbligo per tutte le pubbliche amministrazioni e per tutte le aziende, a tutti i livelli. Nel nostro Paese, in particolare, il 19 settembre del 2018 ha rappresentato la data in cui è entrato in vigore l’adeguamento al GDPR, in virtù del quale il Codice Privacy vigente in precedenza è stato integrato con le nuove regole che la UE ha introdotto. Ecco, dunque, che la normativa è stata riordinata: il tema dei dati personali e del relativo trattamento, per altro, nel corso degli ultimi tempi ha conosciuto molteplici cambiamenti.
Il valore della formazione sulla privacy
È bene mettere in evidenza che la formazione non va ritenuta un banale o semplice adempimento di carattere burocratico; al contrario, rappresenta un’occasione per le imprese che, in questo modo, hanno la possibilità di incrementare il livello di consapevolezza dei dipendenti a proposito dei rischi correlati al trattamento dei dati, rendendoli più esperti in materia di misure di sicurezza. Insomma, rispettare gli obblighi previsti non serve solo a non subire sanzioni di carattere amministrativo, ma ha anche altri benefici: per esempio contribuisce a rendere più efficiente l’erogazione dei servizi, migliora il modo in cui i processi interni sono organizzati ed eleva la reputazione aziendale.
Il concetto di accountability
Quello di accountability è un concetto su cui il GDPR pone l’accento in modo particolare. Con tale termine in lingua inglese si fa riferimento al tema della responsabilizzazione, che deve coinvolgere chiunque si ritrovi a trattare dei dati personali. Si tratta, dunque, di adottare dei comportamenti affidabili e responsabili, tali da dimostrare la consapevolezza da parte degli operatori della necessità delle misure finalizzate alla protezione dei dati personali. Ecco spiegata la ragione per la quale diversi enti sono in procinto di organizzare delle sessioni informative online, che hanno lo scopo di educare gli utenti a proposito di un diritto collettivo – quello della protezione dei dati personali, appunto – e del valore di un uso di Internet responsabile e consapevole.
Le caratteristiche di interdisciplinarietà della formazione
È auspicabile che la formazione dedicata alla privacy abbia un carattere interdisciplinare, e cioè coinvolga più discipline, con sessioni giuridiche e informatiche, sempre orientate sulle caratteristiche organizzative dell’azienda. Uno degli scopi principali è che tutti i soggetti che si sottopongono alla formazione divengano consapevoli dei rischi – sia quelli generali che quelli specifici – correlati al trattamento dei dati, comprendendo non solo le misure in vigore, ma anche le responsabilità e le sanzioni previste. Si tratta di prerequisiti in mancanza dei quali non è possibile lavorare in nessuna organizzazione, ed è questa la ragione per la quale sia le aziende che gli enti pubblici sono chiamati a programmare nel più breve tempo possibile un piano e un percorso di formazione per collaboratori e dipendenti.
La pianificazione dei percorsi di formazione
Al termine del percorso, è necessario prevedere delle prove finali di verifica. E non è tutto, perché sono richieste anche delle sessioni di aggiornamento, da effettuare con una periodicità da stabilire, soprattutto in considerazione delle eventuali modifiche che possono essere apportate alle norme. In ogni caso la progettazione e la costruzione dei percorsi di formazione devono avvenire su misura, alla luce degli specifici fabbisogni normativi che, quindi, devono essere analizzati e identificati con la massima precisione. Una particolare attenzione deve essere riservata anche alle priorità dell’azienda, al target e alle modalità di erogazione della formazione.