La rubrica dell’avvocato
La rubrica dell’avvocatoa cura dell’ Avv. Claudio Calvello
(Patrocinante in Cassazione – DPO e membro di Federprivacy)
ADEGUAMENTO GDPR-PRIVACY: la formazione del personale non è un costo ma un investimento!
Implementare tutte le misure di sicurezza e quelle organizzative adeguate e proporzionate al tipo di trattamento di dati al fine di assicurare la sicurezza e prevenire i rischi di violazioni nell’ambito del trattamento dei dati personali in un’azienda, sono elementi fondamentali anche per provare che l’impresa, in qualità di titolare (o responsabile) del trattamento, si è attivata nel rispetto delle norme del Nuovo Regolamento UE. Tuttavia, l’implementazione delle misure serve a poco se poi i soggetti che devono adottarle e attuarle nel quotidiano non sono adeguatamente formati in materia di privacy e sulla cybersecurity. La formazione dei dipendenti, ma anche dei dirigenti e degli imprenditori stessi è un asset di fondamentale importanza per provare, in caso di ispezioni, che l’impresa si è attivata a rispettare le norme del Reg. UE n. 679/2016. Se, infatti, vengono predisposte correttamente le misure richieste dal GDPR, ma il personale e i collaboratori non sono poi resi coscienti dell’importanza della loro attuazione, non conoscono le norme, i principi in materia di trattamento dei dati personali e i rischi nel caso di mancato rispetto delle regole, quelle misure resteranno solo pura teoria. Se un dipendente non è regolarmente formato sul motivo per cui deve utilizzare in un certo modo i sistemi informativi aziendali e sui rischi potenziali di un suo comportamento non idoneo che si configura violando ad esempio le istruzioni impartite o non attuandole in maniera esatta, non potremo meravigliarci se non impiegherà la cura e l’attenzione necessarie nel trattamento dei dati personali che gli sono affidati in ragione del suo ruolo; e se poi proprio a causa di una sua disattenzione, si verificasse una violazione sui dati personali trattati dall’azienda, la responsabilità sarà solo del titolare dell’impresa! Ecco perché la formazione dei dipendenti e dei collaboratori in materia di privacy non deve essere considerata come un costo dall’impresa, ma come un investimento sulla risorsa umana per renderla cosciente e sensibilizzarla sull’importanza del rispetto delle norme in materia di trattamento dati personali. Con l’effettiva entrata in vigore del GDPR, la privacy non è più una questione a termine, non si tratta solo di scrivere per una volta istruzioni operative, di redigere informative conformi, di verificare i consensi degli interessati, di valutare i rischi potenziali, di designare responsabili del trattamento, di implementare misure tecniche e organizzative adeguate e proporzionate che saranno valide per sempre, la privacy è un argomento dinamico che si muove con l’impresa, con le sue nuove iniziative, con i nuovi software e le nuove app sviluppate per l’impresa, con l’assunzione di nuove risorse o di nuovi partner o con la sottoscrizione di accordi con fornitori terzi che cambiano o si aggiungono a quelli con cui l’impresa già collabora. La formazione deve essere effettivamente erogata e deve essere adeguata al settore specifico, al tipo di dati trattati e ai ruoli del personale e deve essere tesa a chiarire i comportamenti idonei per prevenire i rischi e a precisare le condotte da assumere per intervenire tempestivamente in caso di violazioni sui dati trattati (data breach).
Ovviamente se avete bisogno di assistenza in tema di Privacy (fosse anche solo per un chiarimento) non esitate a contattarci!
