La formazione sulla privacy per PA e Aziende
La guida su cosa devono fare aziende e pubbliche amministrazioni in termini di formazioni sulla privacy secondo il nuovo GDPR
(Leggi anche qui cos’è il GDPR)
Il Regolamento generale per la protezione dei dati personali n. 2016/679 (General Data Protection Regulation o GDPR) è la normativa europea in materia di protezione dei dati che è entrato in vigore dallo scorso 24 maggio 2016. La sua attuazione tuttavia è avvenuta a distanza di due anni, quindi a partire dal 25 maggio 2018 ovvero da circa un anno.
Il suo scopo è, infatti, la definitiva armonizzazione della regolamentazione in materia di protezione dei dati personali all’interno dell’Unione europea. Questo perché col Trattato di Lisbona la protezione dei dati personali è diventata diritto fondamentale dei cittadini, e quindi va garantito allo stesso modo in tutto il territorio dell’Unione. Aumentando la fiducia dei cittadini nella società digitale, grazie alla tutela più stringente, il regolamento è funzionale allo sviluppo digitale dell’Unione europea, e tutela anche la libertà di circolazione dei dati personali.
Col regolamento europeo si passa da una visione proprietaria del dato, in base alla quale non lo si può trattare senza consenso, ad una visione di controllo del dato, che favorisce la libera circolazione dello stesso rafforzando nel contempo i diritti dell’interessato, il quale deve poter sapere se i dati sono usati e come vengono usati per tutelare lui e l’intera collettività dai rischi insiti nel trattamento dei dati.
L’obbligo della formazione sulla privacy
Il Regolamento sulla privacy europeo 679/16 (Gdpr) prevede l’obbligo della formazione per le pubbliche amministrazioni ed imprese in materia di protezione dei dati personali per tutte le figure presenti nell’organizzazione (sia dipendenti che collaboratori). Niente paura però, la formazione su questo tema può essere completata agilmente grazie al nostro corso sulla sicurezza lavoro online che abbiamo creato appositamente su questa tematica che puoi consultare cliccando sul seguente link: corso di formazione alla privacy.
Qui di seguito invece puoi trovare una breve guida dei passi che PA e aziende devono seguire per adeguarsi agli obblighi di formazione alla privacy:
- pianificare quanto prima un percorso ed un piano di formazione;
- accantonare adeguate risorse in sede di approvazione di bilancio, al fine di arrivare preparati alla scadenza del 25 maggio 2018, data in cui il Regolamento, già in vigore, esplicherà i suoi effetti;
- prevedere prove finali nel percorso formativo, e sessioni di aggiornamento alla luce delle modifiche normative, organizzative e tecniche;
- individuare un percorso formativo alternativo, in caso di mancato superamento del test finale, ed un nuovo esame di verifica;
Altre cose da tenere a mente…
Nella progettazione dei corsi di formazione, occorre esaminare ed individuare: i fabbisogni formativi, la struttura dell’Ente o dell’impresa, i profili organizzativi, il target, i prerequisiti, le finalità generali e specifiche di ciascuna sessione formativa nonché le relative modalità di erogazione (in aula o a distanza) ed i precedenti corsi predisposti in materia.
Occorrerebbe, inoltre, stabilire aree di priorità di intervento, a titolo esemplificativo ma non esaustivo le figure apicali, gli amministratori di sistema, i nuovi assunti ed infine le persone autorizzate al trattamento. Queste ultime, corrispondono agli ex incaricati del codice privacy e sono, sostanzialmente, tutti coloro che trattano dati personali. Essi dovranno essere appositamente nominati mediante una lettera di designazione contenete le istruzioni sui trattamenti che dovranno svolgere.
Nelle previsioni di budget è necessario considerare anche risorse specifiche per la formazione del Data protection Officer e dei componenti del team. Il data protection officer, figura obbligatoria nelle pubbliche amministrazioni e organo di presidio e di controllo deve anch’esso occuparsi della formazione del personale che partecipa ai trattamenti ed alle connesse attività di controllo. La previsione di tale compito a carico del DPO costituisce un ulteriore elemento di garanzia della centralità e dell’effettività della formazione che potrà nella logica del regolamento anche essere oggetto di specifici audit.
La formazione costituisce essa stessa una misura essenziale al fine di garantire un livello di sicurezza adeguato a garanzia del Titolare del trattamento, la pietra angolare del trattamento e sul quale ricade ogni responsabilità.
La previsione di eventi formativi diretti al personale e ai collaboratori concretizza il principio di “accountability” ossia di responsabilizzazione del Titolare del trattamento, previsto dal Regolamento europeo n. 679/16.
Il titolare deve dimostrare che il trattamento dei dati sia lecito, corretto, trasparente, pertinente, adeguato, legittimo e che vengano, inoltre, rispettati i principi di minimizzazione, di conservazione dei dati e siano previste misure di sicurezza adeguate.
I dipendenti e i collaboratori potranno, infatti, trattare i dati solo se autorizzati ed entro i limiti delle istruzioni impartite dal titolare, il quale potrà comunque avvalersi come intermediario di altro soggetto debitamente autorizzato.
Il programma ed il piano formativo costituiscono, pertanto, dei tasselli rilevanti del cd sistema di gestione privacy in grado di concretizzare il principio di accountability inteso come capacità di dimostrare di avere adottato misure di sicurezza adeguate. Si suggerisce, per tale ragione, di pubblicare il piano ed i relativi materiali formativi nella sezione intranet aziendale al fine di costituire un presidio di informazione e aggiornamento a beneficio di tutta l’organizzazione e di inserire i sopra citati atti come allegati al registro del trattamento.
In ambito pubblico la formazione sulla protezione dei dati non potrà non integrarsi con la digitalizzazione dei processi, con la riforma del Codice di Amministrazione digitale, con i codici di comportamento degli enti e con le ultime recenti novità normative in materia di trasparenza, prevenzione della corruzione, Foia e whistleblowing.
Nell’ottica di un miglioramento continuo e di una gestione in qualità del sistema privacy, sarebbe consigliabile, come alcuni enti stanno progettando, prevedere sessioni informative on line per sensibilizzare anche gli utenti sul valore della protezione dei dati personali, come diritto collettivo e sull’utilizzo consapevole e responsabile di Internet.
La formazione non deve essere considerata, pertanto, un mero adempimento burocratico ma come un’opportunità per rendere consapevoli gli operatori dei rischi connessi al trattamento dei dati, delle misure di sicurezza, per migliorare i processi organizzativi e i servizi erogati, evitare danni reputazionali, ridurre i rischi di sanzioni amministrative e rendere più competitiva l’organizzazione.
Per maggiori informazioni contattaci –> CONTATTI
Se vuoi seguire tutte le novità metti “Mi Piace” –> FACEBOOK