Sempre più spesso mi rendo conto che le policy organizzative, senza un’adeguata attività di formazione che le sostenga e sia in grado di farne percepire il loro valore, non hanno sufficiente forza per imporsi come “arma vincente” per la protezione dei dati personali ed il loro legittimo trattamento.
Nell’ambito delle attività di assessment che mi vengono affidate dai clienti, di norma dedico parte del tempo a stabilire un set di regole organizzative e tecniche finalizzate ad informare il personale sui rischi nel trattamento dei dati personali, sulle best practice cui attenersi e sui comportamenti da evitare, per garantire un’adeguata protezione dei dati.
Purtroppo, quando, poi, mi ritrovo a chiedere a quelle stesse persone cosa ne pensano delle regole contenute nelle policy che hanno ricevuto, nella maggioranza dei casi mi accorgo che nessuno (o molto pochi) ha letto il documento al quale avevo dedicato tempo e fatica, nel tentativo di raggiungere delicati compromessi tra la “ragion di stato” dell’azienda (che non vuole impedimenti e legacci per far funzionare il business nel migliore dei modi) e le – ormai note – regole prescritte dal GDPR.
Mi sono a lungo sorpreso di questa diffusissima indifferenza, dato che, personalmente, se il mio datore di lavoro mi consegnasse un documento intitolato “policy” e contenente un certo numero di regole di condotta, anche solo per curiosità (se non per timore di sbagliare), mi fermerei cinque minuti a leggerlo.
Invece, è un dato di fatto ricorrente nella mia esperienza professionale che i più ricevono il documento con le policy aziendali e lo accantonano, senza neppure dargli un’occhiata e questo atteggiamento generalizzato è in grado di vanificare qualsiasi attività di prevenzione che il Titolare abbia ritenuto utile ed opportuno adottare.
La situazione, però, cambia quando mi capita di svolgere delle apposite sessioni informative (e formative) dedicate alla spiegazione di quelle policy e di quelle regole.
Dopo una prima mezz’ora in cui leggo distintamente negli occhi dell’ascoltatore un moto di insofferenza per essere costretto ad ascoltare “il solito sermone sulla privacy“, una volta che riesco a far breccia nella sua diffidenza e comincia a comprendere la reale utilità di di quelle policy anche per se stesso, cresce esponenzialmente il livello di attenzione e di partecipazione.
Spesso la comprensione arriva accostando due comportamenti tratti dalla realtà di tutti i giorni: una prassi comunemente ritenuta (a torto) innocua e un comportamento, possibilmente di analogo contenuto, tratto dalla vita quotidiana di ciascuno di noi e pacificamente ritenuto pericoloso.
Provate, per esempio, a chiedere: terreste un foglietto attaccato fuori dalla porta di casa vostra con il codice del vostro antifurto? No? E allora perché tenete il post-it con la password del vostro PC attaccato al monitor?
Non è, d’altra parte, una novità che le regole hanno tanto più senso e sono tanto più seguite quanto più elevata è la comprensione da parte dei destinatari della loro importanza e ragionevolezza.
Ciò significa, quindi, aumentare la cultura media della popolazione in materia di protezione dei dati, destinando tempo e risorse ad una reale ed efficace aattività di formazione.
Il WP29, già nel parere n. 3/2010, aveva individuato , tra le misure comuni da adottare da parte del Titolare del trattamento, quella di “un’adeguata formazione ed istruzione del personale in materia di protezione dei dati. Il personale in questione dovrebbe includere gli incaricati (o responsabili) del trattamento dei dati personali, ma anche dirigenti e sviluppatori in campo informatico e direttori di unità commerciali”.
La centralità della formazione è confermata, come sappiamo, anche dall’art. 32 del GDPR che prevede che “il titolare del trattamento ed il responsabile del trattamento fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri”.
La formazione costituisce, pertanto, un prerequisito per poter operare all’interno delle organizzazioni ed è preferibile che abbia un taglio interdisciplinare e pragmatico, con sessioni sia informatiche sia giuridiche sia sui profili organizzativi della propria realtà aziendale.
La formazione dovrebbe essere, inoltre, finalizzata ad illustrare i rischi generali e specifici dei trattamenti di dati, le misure organizzative, tecniche ed informatiche adottate, nonché le responsabilità e le sanzioni.
L’obbligo formativo non deve essere in alcun modo sottovalutato dai Titoari del trattamento, tant’è vero che l’adempimento degli obblighi formativi è spesso oggetto anche di accertamenti ispettivi da parte dell’Autorità Garante.
Il Garante, in diversi casi, in sede ispettiva ha richiesto, infatti, di acquisire:
- il programma ed il piano di formazione,
- le dispense,
- i materiali erogati,
- il test finale,
valutando anche l’adeguatezza della formazione in funzione del profilo degli incaricati al trattamento, dei livelli di autorizzazione e delle policy aziendali adottate.
La formazione costituisce, insomma, una misura essenziale al fine di garantire un livello di sicurezza adeguato a garanzia del Titolare del trattamento, sul quale ricade, come sappiamo, ogni responsabilità, in ossequio al principio di “accountability” sancito dal GDPR.