La formazione del personale: perché è importante lato privacy e lato 27001

Perché un datore di lavoro dovrebbe formare i suoi dipendenti?  È solamente un obbligo?

Tendenzialmente quando vi sono delle nuove normative cogenti, una delle prime cose che il datore di lavoro deve organizzare è una formazione specifica sulla norma, rivolta ai suoi dipendenti.

L’imposizione normativa non è e non deve essere l’unico motivo che induce le aziende a fare formazione.

Nell’ambito della protezione dei dati personali e in maniera più ampia, nell’approccio della certificazione 27001 sulla sicurezza delle informazioni, l’errore umano resta tra le prime cause di incidenti; per questo motivo fare formazione dovrebbe sempre essere un’opportunità da sfruttare, per accrescere il livello di consapevolezza dei propri dipendenti.

Quale dovrebbe essere l’approccio di un Datore di lavoro alla formazione Privacy?

Per rispondere a questa domanda occorre partire dal concetto di “Accountability”; l’esempio concreto del termine lo troviamo ribadito come premessa al Regolamento, al considerando 74:

“È opportuno stabilire la responsabilità generale del titolare del trattamento per qualsiasi trattamento di dati personali che quest’ultimo abbia effettuato direttamente o che altri abbiano effettuato per suo conto. In particolare, il titolare del trattamento dovrebbe essere tenuto a mettere in atto misure adeguate ed efficaci ed essere in grado di dimostrare la conformità delle attività di trattamento con il presente regolamento, compresa l’efficacia delle misure. Tali misure dovrebbero tener conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché del rischio per i diritti e le libertà delle persone fisiche.”

Da quanto sopra riportato, si evince un chiaro senso di responsabilizzazione del Titolare che deve dimostrare l’efficacia delle misure adottate. L’unico modo per dimostrare l’efficacia delle misure adottate è generare evidenze.

Nel regolamento sulla protezione dei dati all’Art. 29 si dice: “Il responsabile del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del titolare del trattamento, che abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri”.

In generale, dunque, i dipendenti non potrebbero trattare nessun dato per conto del titolare se non adeguatamente istruiti. L’Art. 29 non ci fornisce indicazioni di dettaglio sul metodo da utilizzare; l’obiettivo è proprio quello di ribaltare il senso di responsabilità sul titolare, che ancora una volta seguendo il principio dell’accountability dovrà attivarsi per trovare il metodo più adatto per assolvere a quanto richiesto dal regolamento.

Vantaggi della formazione privacy:

• Rispettare un obbligo normativo;
• Accrescere il livello di consapevolezza nel trattamento di dati;
• Ridurre l’errore umano;
• Responsabilizzazione del personale;

e nella certificazione 27001?

Nella certificazione sulla sicurezza delle informazioni l’obbligo di effettuare formazione sui dipendenti è presente all’interno del capitolo dedicato al supporto dove in particolare nei paragrafi dedicati alle risorse e alle competenze si dice che è obbligo dell’organizzazione determinare le necessarie competenze per le persone che svolgono attività, assicurandosi che queste persone siano competenti sulla base di istruzione, formazione e addestramento o esperienza appropriata.

Anche in questo caso ci troviamo davanti a richieste specifiche imposte dal requisito normativo; sul piano pratico sarà sempre l’organizzazione a dover dimostrare che ha effettuato un adeguata formazione per i suoi dipendenti.

Qual è infine la chiave della formazione in ambito privacy e in ambito 27001?

Al di là dell’obbligo che deriva dalle norme, il vantaggio che si ottiene dalla formazione in entrambi gli ambiti è il raggiungimento di un obiettivo: gestione del rischio rispetto all’errore umano.

La formazione resta l’elemento protagonista di un’organizzazione e dovrebbe sempre essere vista come una grande opportunità.