La formazione in materia di privacy è obbligatoria e la sua assenza è sanzionabile. Ma non esistono riferimenti precisi in fatto di durata, contenuti e aggiornamenti in merito. Come organizzarla, quindi?
Concetti generali e operatività
Una formazione in materia di privacy che voglia essere efficace deve prevedere quindi contenuti generali e specifici (sì, come avviene per la sicurezza), dove i primi servono per conoscere il linguaggio della privacy e i secondi servono a tradurre in azioni concrete i principi generali.
L’obiettivo della formazione sulla privacy è quella di mettere chi raccoglie e tratta i dati nella condizione di essere consapevole della sua influenza sul rispetto delle disposizioni di legge previsti in materia di trattamento di dati personali, e anche delle azioni che l’organizzazione ha previsto a suo carico per la gestione dei dati in modo conforme.
Una traccia dei contenuti della formazione sulla privacy
Di seguito la mia proposta di un’ossatura della formazione che può essere arricchita di dettagli a seconda della tipologia e della dimensione dell’organizzazione ma che consente di passare dalla teoria alla pratica, rispondendo all’obbligo di formazione e anche all’esigenza di operatività di ogni organizzazione.
- Si parte dalla normativa di riferimento, anche solo per evitare confusione tra vecchia e nuova modulistica e per capire quale sia l’argomento in questione quando si vedono sigle e numeri.
- Si passa a termini e definizioni perché nel linguaggio tecnico le parole assumono un significato preciso, che consente di distinguere ruoli e responsabilità in modo univoco. Imparare a conoscere e a utilizzare termini specifici evita fraintendimenti e velocizza l’operatività.
- Calare la teoria nella realtà dell’organizzazione, dando nome e cognome al titolare del trattamento, ai responsabili esterni, agli addetti al trattamento, al DPO e illustrando i contenuti della documentazione predisposta per la gestione dei trattamenti dei dati, a partire dall’individuazione dei dati personali oggetto di trattamento.
- Individuare le situazioni potenzialmente pericolose e illustrare la procedura del data breach.
- Illustrare le sanzioni previste e alcuni esempi di applicazione da parte del Garante, con riferimento a tipologie di trattamenti analoghe a quelle dell’organizzazione per la quale si sta erogando la formazione.
- Proporre esercitazioni ed esempi, compilando la modulistica predisposta e affrontando le situazioni più comuni e quelle meno frequenti ma potenzialmente rischiose.
Durata e frequenza di aggiornamento
La durata del percorso dipende dal numero di persone che partecipano alla formazione, dalla complessità dell’organizzazione e dei trattamenti e dalla possibilità o meno di suddividere la formazione tra figure con uguale responsabilità in relazione al trattamento dei dati.
Nulla vieta di considerare come formazione già l’illustrazione dei documenti ai referenti di funzione, ma pensare di demandare loro la formazione ai loro sottoposti, in un percorso a cascata, risulta rischioso: un eventuale fraintendimento rischia di diffondersi in modo incontrollato tra colleghi e collaboratori.
La frequenza di aggiornamento, infine, è legata più alle variazioni delle tipologie di dati trattate o alle modifiche delle procedure di trattamento piuttosto che al passare del tempo. Per analogia si può parlare di integrazione o aggiornamento della formazione nel caso cambi il ruolo aziendale (e quindi l'”uso” dei dati in azienda).