14/05/2021
La formazione obbligatoria privacy passa anche per la Formazione 4.0
L’entrata in vigore del nuovo Regolamento Europeo sulla Protezione dei dati 2016/679 ha rivoluzionato il modo di “fare privacy” introducendo concetti fondamentali, quali l’accountability (o responsabilizzazione), che passa anche attraverso la formazione e la sensibilizzazione dei collaboratori aziendali.
Come? Non soltanto istruendo sui principi teorici del trattamento del dato, ma fornendo anche strumenti di corretta gestione del dato in un contesto di cybersecurity.
In base al principio di responsabilizzazione, che è uno dei cardini fondamentali della normativa oggi in vigore, tutte le fasi del trattamento del dato debbono essere interessate da analisi e controllo; questo necessariamente comporta l’adozione di strumenti e soluzioni atte a garantire non solo la protezione dei dati, ma anche il controllo, la verifica e l’analisi delle procedure.
Per poter operare in tal senso è dunque necessario che gli addetti al trattamento siano ben formati sia sui principi teorici sia sulle procedure aziendali messe in atto.
L’obbligo formativo previsto dal GDPR - Il Regolamento Europeo, pur prevedendo un obbligo formativo e informativo nei confronti degli addetti al trattamento, non specifica nel dettaglio la tipologia di corsi da svolgere (come invece prevede, ad esempio, il Testo Unico Sicurezza D.Lgs. 81/2008 in relazione ai corsi in materia di sicurezza sul lavoro), ma tale obbligo deriva dagli art. 29, 32 e 39 del Regolamento UE 2016/679 (GDPR).
In perfetto stile europeo, la norma non fornisce dunque istruzioni da seguire pedissequamente, ma più semplicemente delimita un perimetro entro cui operare; il lavoratore dovrà, una volta formato in base alla policy privacy aziendale, avere gli strumenti utili per trattare il dato in maniera:
• consapevole;
• sicura;
• evitando che il dato venga perso o trafugato.
Come previsto dall’art. 29 del Regolamento il responsabile del trattamento e chiunque agisca sotto la sua autorità o sotto quella del titolare del trattamento, non potrà trattare dati rilevanti ai fini privacy (identificativi e/o particolari) se non dopo essere stato istruito in tal senso dal titolare del trattamento.
Gli obblighi formativi sono introdotti dall’art. 39.1.b del Regolamento, il quale prevede, tra i compiti del DPO, quello di “sorvegliare l’osservanza delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo”, ed inoltre, l’art. 32.4 del Regolamento dispone che “chiunque abbia accesso a dati personali non tratti tali dati se non istruito in tal senso dal titolare del trattamento”.
Le aziende e le Pubbliche Amministrazioni, pertanto, devono organizzare per chiunque gestisca dati personali percorsi formativi, in base alla propria policy privacy, che rispondano ai requisiti del principio di accontuability: testabili, verificabili e valutabili.
In caso di violazione degli articoli 29 e 39 (obbligo formativo), verranno applicate sanzioni amministrative pecuniarie che potrebbero essere rilevanti, in considerazione del fatto il GDPR non prevede sanzioni in misura fissa ma proporzionali al tipo di mancanza e al fatturato del settore di riferimento.
Che argomenti dovrebbe trattare il corso obbligatorio privacy?
• Attori del trattamento dati personali
• Nomine delle figure in relazione alla struttura organizzativa
• Approccio basato sul rischio del trattamento
• Rispetto delle procedure e delle misure di sicurezza adottate
• Documenti del GDPR
• Conoscenza delle strumentazioni tecnologiche in uso all’azienda, quali conservazione dei dati in cloud, utilizzo della posta elettronica, riconoscimento di potenziali virus.
La formazione 4.0 quale strumento per formare i lavoratori in materia di privacy - L’agevolazione legata alla formazione 4.0, che prevede il riconoscimento di un credito d’imposta legato alle ore di formazione del personale, può essere utilizzata per la formazione sulle tecnologie previste dal Piano Nazionale Industria 4.0.
I temi disponibili sono i seguenti:
• big data e analisi dei dati;
• cloud e fog computing;
• cyber security;
• sistemi cyber-fisici;
• prototipazione rapida;
• sistemi di visualizzazione e realtà aumentata;
• robotica avanzata e collaborativa;
• interfaccia uomo macchina;
• manifattura additiva;
• internet delle cose e delle macchine;
• integrazione digitale dei processi aziendali.
E le attività formative dovranno riguardare i seguenti ambiti:
1. vendita e marketing;
2. informatica e tecniche;
3. tecnologie di produzione.
In relazione agli elenchi e ai settori di cui sopra, nel contesto specifico della formazione obbligatoria in materia di privacy pertanto si potrà optare per:
• big data e analisi dei dati;
• cloud e fog computing;
• cyber security;
• sistemi cyber-fisici;
• internet delle cose e delle macchine;
• integrazione digitale dei processi aziendali.
Tutte tematiche facenti parte dell’ambito “informatica e tecniche”.
Dell’ambito della formazione 4.0 pertanto abbiamo due aspetti importanti e positivi da considerare:
1. il primo riguarda la formazione e la qualificazione del personale dipendente, un personale maggiormente formato aumenterà inevitabilmente la qualità aziendale, sia in termini di produzione che si servizi;
2. il secondo aspetto implica il rispetto della norma, che potrà essere realizzato investendo in una formazione che non solo risulta di fatto essere a “costo zero”, ma che addirittura “regala” un credito importante alle aziende che usufruiscono dello strumento.
Come? Non soltanto istruendo sui principi teorici del trattamento del dato, ma fornendo anche strumenti di corretta gestione del dato in un contesto di cybersecurity.
In base al principio di responsabilizzazione, che è uno dei cardini fondamentali della normativa oggi in vigore, tutte le fasi del trattamento del dato debbono essere interessate da analisi e controllo; questo necessariamente comporta l’adozione di strumenti e soluzioni atte a garantire non solo la protezione dei dati, ma anche il controllo, la verifica e l’analisi delle procedure.
Per poter operare in tal senso è dunque necessario che gli addetti al trattamento siano ben formati sia sui principi teorici sia sulle procedure aziendali messe in atto.
L’obbligo formativo previsto dal GDPR - Il Regolamento Europeo, pur prevedendo un obbligo formativo e informativo nei confronti degli addetti al trattamento, non specifica nel dettaglio la tipologia di corsi da svolgere (come invece prevede, ad esempio, il Testo Unico Sicurezza D.Lgs. 81/2008 in relazione ai corsi in materia di sicurezza sul lavoro), ma tale obbligo deriva dagli art. 29, 32 e 39 del Regolamento UE 2016/679 (GDPR).
In perfetto stile europeo, la norma non fornisce dunque istruzioni da seguire pedissequamente, ma più semplicemente delimita un perimetro entro cui operare; il lavoratore dovrà, una volta formato in base alla policy privacy aziendale, avere gli strumenti utili per trattare il dato in maniera:
• consapevole;
• sicura;
• evitando che il dato venga perso o trafugato.
Come previsto dall’art. 29 del Regolamento il responsabile del trattamento e chiunque agisca sotto la sua autorità o sotto quella del titolare del trattamento, non potrà trattare dati rilevanti ai fini privacy (identificativi e/o particolari) se non dopo essere stato istruito in tal senso dal titolare del trattamento.
Gli obblighi formativi sono introdotti dall’art. 39.1.b del Regolamento, il quale prevede, tra i compiti del DPO, quello di “sorvegliare l’osservanza delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo”, ed inoltre, l’art. 32.4 del Regolamento dispone che “chiunque abbia accesso a dati personali non tratti tali dati se non istruito in tal senso dal titolare del trattamento”.
Le aziende e le Pubbliche Amministrazioni, pertanto, devono organizzare per chiunque gestisca dati personali percorsi formativi, in base alla propria policy privacy, che rispondano ai requisiti del principio di accontuability: testabili, verificabili e valutabili.
In caso di violazione degli articoli 29 e 39 (obbligo formativo), verranno applicate sanzioni amministrative pecuniarie che potrebbero essere rilevanti, in considerazione del fatto il GDPR non prevede sanzioni in misura fissa ma proporzionali al tipo di mancanza e al fatturato del settore di riferimento.
Che argomenti dovrebbe trattare il corso obbligatorio privacy?
• Attori del trattamento dati personali
• Nomine delle figure in relazione alla struttura organizzativa
• Approccio basato sul rischio del trattamento
• Rispetto delle procedure e delle misure di sicurezza adottate
• Documenti del GDPR
• Conoscenza delle strumentazioni tecnologiche in uso all’azienda, quali conservazione dei dati in cloud, utilizzo della posta elettronica, riconoscimento di potenziali virus.
La formazione 4.0 quale strumento per formare i lavoratori in materia di privacy - L’agevolazione legata alla formazione 4.0, che prevede il riconoscimento di un credito d’imposta legato alle ore di formazione del personale, può essere utilizzata per la formazione sulle tecnologie previste dal Piano Nazionale Industria 4.0.
I temi disponibili sono i seguenti:
• big data e analisi dei dati;
• cloud e fog computing;
• cyber security;
• sistemi cyber-fisici;
• prototipazione rapida;
• sistemi di visualizzazione e realtà aumentata;
• robotica avanzata e collaborativa;
• interfaccia uomo macchina;
• manifattura additiva;
• internet delle cose e delle macchine;
• integrazione digitale dei processi aziendali.
E le attività formative dovranno riguardare i seguenti ambiti:
1. vendita e marketing;
2. informatica e tecniche;
3. tecnologie di produzione.
In relazione agli elenchi e ai settori di cui sopra, nel contesto specifico della formazione obbligatoria in materia di privacy pertanto si potrà optare per:
• big data e analisi dei dati;
• cloud e fog computing;
• cyber security;
• sistemi cyber-fisici;
• internet delle cose e delle macchine;
• integrazione digitale dei processi aziendali.
Tutte tematiche facenti parte dell’ambito “informatica e tecniche”.
Dell’ambito della formazione 4.0 pertanto abbiamo due aspetti importanti e positivi da considerare:
1. il primo riguarda la formazione e la qualificazione del personale dipendente, un personale maggiormente formato aumenterà inevitabilmente la qualità aziendale, sia in termini di produzione che si servizi;
2. il secondo aspetto implica il rispetto della norma, che potrà essere realizzato investendo in una formazione che non solo risulta di fatto essere a “costo zero”, ma che addirittura “regala” un credito importante alle aziende che usufruiscono dello strumento.