Consulenza privacy per l’azienda. Adeguamento alla normativa sul trattamento dei dati personali per l’impresa

formazione privacy e learning in house

L’importanza di rendere consapevoli i dipendenti e la necessità della formazione aziendale in materia di privacy con il GDPR

Implementare tutte le misure di sicurezza e quelle organizzative adeguate e proporzionate al tipo di trattamento di dati, al contesto in cui esso si verifica, alla finalità, alla natura e alla categoria dei dati trattati al fine di assicurare la sicurezza e prevenire i rischi di violazioni nell’ambito del trattamento dei dati personali in un’azienda sono elementi fondamentali anche per provare che l’impresa, in qualità di titolare (o responsabile) del trattamento, si è attivata nel rispetto delle norme del Regolamento UE, tuttavia l’implementazione delle misure serve a poco se poi i soggetti che devono adottarle e attuarle nel quotidiano non sono adeguatamente formati in materia di privacy e sulla cybersecurity.

La formazione dei dipendenti, ma anche dei dirigenti e degli imprenditori stessi è un asset di fondamentale importanza per provare, in caso di ispezioni, che l’impresa si è attivata a rispettare le norme del Regolamento UE n. 679/2016. Se, infatti, vengono predisposte correttamente le misure richieste dal GDPR, ma il personale e i collaboratori non sono poi resi coscienti dell’importanza della loro attuazione, non conoscono le norme, i principi in materia di trattamento dei dati personali e i rischi nel caso di mancato rispetto delle regole, quelle misure resteranno solo pura teoria. Se un dipendente non è regolarmente formato sul motivo per cui deve utilizzare in un certo modo i sistemi informativi aziendali e sui rischi potenziali di un suo comportamento non idoneo che si configura violando ad esempio le istruzioni impartite o non attuandole in maniera esatta, non potremo meravigliarci se non impiegherà la cura e l’attenzione necessarie nel trattamento dei dati personali che gli sono affidati in ragione del suo ruolo; e se poi proprio a causa di una sua disattenzione, si verificasse una violazione sui dati personali trattati dall’azienda, la responsabilità sarà solo del titolare dell’impresa!

Ecco perché la formazione dei dipendenti e dei collaboratori in materia di privacy non deve essere considerata come un costo dall’impresa, ma come un investimento sulla risorsa umana per renderla cosciente e sensibilizzarla sull’importanza del rispetto delle norme in materia di trattamento dati personali, anche perché con l’effettiva entrata in vigore del GDPR, la privacy non è più una questione a termine, non si tratta solo di scrivere per una volta istruzioni operative, di redigere informative conformi, di verificare i consensi degli interessati, di valutare i rischi potenziali, di designare responsabili del trattamento, di implementare misure tecniche e organizzative adeguate e proporzionate che saranno valide per sempre, la privacy è un argomento dinamico che si muove con l’impresa, con le sue nuove iniziative, con i nuovi software e le nuove app sviluppate per l’impresa, con l’assunzione di nuove risorse o di nuovi partner o con la sottoscrizione di accordi con fornitori terzi che cambiano o si aggiungono a quelli con cui l’impresa già collabora; un tema che avanza con l’innovazione tecnologica e con i nuovi rischi che essa comporta, una materia che l’organizzazione aziendale deve riaffrontare periodicamente, aggiornando le misure adottate, riesaminando i rischi connessi ai trattamenti dei dati, aggiornando i suoi collaboratori.

La formazione deve essere effettivamente erogata e deve essere adeguata al settore specifico, al tipo di dati trattati e ai ruoli del personale e deve essere tesa a chiarire i comportamenti idonei per prevenire i rischi e a precisare le condotte da assumere per intervenire tempestivamente in caso di violazioni sui dati trattati.

Naturalmente, oltre alla formazione sarà necessario autorizzare il dipendente/collaboratore assegnandoli privilegi limitati al trattamento dei dati personali che può trattare in relazione al suo ruolo specifico, nel rispetto del principio del minimo privilegio, far sottoscrivere opportuni accordi con cui il dipendente si impegna a rispettare le policy aziendali relative al trattamento dei dati personali, nei quali accordi è opportuno prevedere sanzioni disciplinari o penali nel caso di mancato o inadeguato rispetto delle istruzioni contenute nelle policy.

Siamo a tua disposizione per supportarti nell’iter di adeguamento della tua organizzazione aziendale al GDPR e per rendere consapevoli i tuoi dipendenti e collaboratori in materia di trattamento dei dati personali.

Annalisa Spedicato – Avvocato Esperto in IP ICT e Privacy

RICHIEDI CONSULENZA

Autore Avvocato Spedicato IP ICT Privacy

Avvocato Esperto in IP ICT e Privacy