“Buongiorno, sono il vostro DPO”. Nella precedente puntata di questa serie abbiamo visto un compito al quale il Data Protection Officer non può mancare di adempiere: il Controllo (Audit). Ma se volessimo stilare una classifica dei compiti più importanti per il DPO, voi cosa mettereste al secondo posto? Io metterei senza dubbio la Formazione. Certo, lo so bene, il Titolare tenterà di utilizzare le risorse del suo DPO (interno o esterno) essenzialmente per informazione e consulenza. Così facendo però si rischia di limitarsi ad inseguire la contingenza (devo fare delle riprese a un evento, va bene l’informativa? devo spostare un’applicazione in cloud, cosa scrivo nel contratto?) perdendo di vista la necessità del miglioramento continuo del livello di compliance, che passa necessariamente per un adeguato grado di consapevolezza da parte degli addetti al trattamento dei dati personali, salendo dal livello operativo sino a quelli manageriali.
Va bene, ma cosa c’entra il DPO con la formazione? Per questo obiettivo sono già impegnati gli uffici che normalmente si occupano della formazione in azienda: certamente l’HR, e in questo caso forse anche la Compliance e/o il Legal. Molto bene, almeno per quelle aziende che dispongono di strutture così articolate (e sensibili alle tematiche di Data Protection); non dimentichiamo tuttavia che il paragrafo 1.b dell’Art.39 GDPR prevede per il DPO la sorveglianza su “ […] le politiche del titolare del trattamento […], compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale […]”. Ah, ma quindi il DPO deve “solo” vigilare? Certamente non deve sostituirsi alle scelte del Titolare, ma nemmeno è pensabile che possa stare sulla collina a guardare l’azienda dall’alto, scendendo ogni tanto per vedere se va tutto bene…
Quale può essere il contributo del DPO a un corretto programma di formazione privacy in azienda?
Sicuramente il supporto alle funzioni preposte nella definizione di un piano formativo, che tenga conto delle esigenze tipiche delle diverse figure e dei diversi obiettivi da raggiungere:
- per il Board, la coscienza dell’importanza delle scelte da compiere e delle risorse da impegnare per la tutela dei diritti degli interessati, come condizione di legittimità per il trattamento dei dati personali in azienda;
- per il management (soprattutto per le figure coinvolte nel “comitato data protection” oppure come “referenti interni” nel modello organizzativo per la gestione della privacy), la consapevolezza del proprio ruolo e delle relative responsabilità operative;
- per gli addetti al trattamento, la conoscenza dei principi fondamentali e la loro applicazione concreta nell’attività quotidiana attraverso le procedure aziendali e i documenti a supporto.
Per ciascuna di queste figure il Titolare dovrà scegliere gli strumenti più adatti: seminari generalisti in presenza o in webinar, workshop specialistici per gli addetti delle diverse aree (almeno HR, MKTG e IT dovrebbero essere oggetto di interventi mirati), tutorial on-line con verifica dell’apprendimento, ecc.
Al fine di consentire tali scelte, un passaggio preliminare non può essere eluso: ricordatevi che, ancora per tutto il 2019, la maggior parte delle organizzazioni (anche quelle virtuose che hanno completato per tempo il processo di adeguamento) saranno in fase di transizione, per cui il reale livello di conoscenza sui temi privacy è ancora sconosciuto: come selezionare allora gli strumenti e i contenuti più adatti se non procedendo con un assessment delle conoscenze? Attenzione, non è tanto importante registrare la competenza specifica delle singole persone, quanto inquadrare il livello di conoscenza per tematica: ci saranno realtà attrezzatissime per gestire informative e consensi, ma del tutto impreparate ad affrontare una richiesta di portabilità, oppure altre già abituate a impostare corrette misure di sicurezza, basate su un’accurata analisi dei rischi, ma invece ignare della corretta procedura per la gestione di un eventuale data breach. Saper cogliere queste specificità sarà di grande aiuto nell’individuazione delle priorità. Nella limitatezza delle risorse disponibili, la mappatura del livello di awareness per le diverse aree aziendali consentirà poi di individuare i reparti più bisognosi di sensibilizzazione, concentrando sugli stessi l’effort iniziale. Il DPO potrà efficacemente valutare l’esito dell’assessment per supportare il Titolare nella pianificazione della roadmap formativa.
In conclusione non va poi dimenticato che, in termini di accountability, sono finiti i tempi in cui le ispezioni si limitavano a verificare l’erogazione delle formazione privacy attraverso l’esibizione dei registri (d’aula o sulla piattaforma di e-learning): non è l’erogazione in sé della formazione a poter essere considerata una buona prassi, ma sarà necessario verificare la sua effettiva efficacia sul campo. A tale scopo il DPO prenderà atto del’esito dell’assessment iniziale, che costituirà la baseline delle conoscenze, sulla quale misurerà poi il delta positivo generato dai diversi interventi formativi.