Corso GDPR: come creare un piano di formazione privacy aziendale
26 Ottobre 2020 in DPO as a Service
Dove è scritto che la formazione GDPR sia un obbligo? Lo chiedono frequentemente i titolari del trattamento dei dati personali. Anche se l’obbligo non è esplicitato in un preciso articolo, il Regolamento afferma che il titolare deve autorizzare e istruire le persone incaricate del trattamento, che equivale a un impegno di formazione. Inoltre, il GDPR (1.b dell’Art.39) attribuisce al Data Protection Officer (DPO) la sorveglianza sulle politiche del titolare del trattamento, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale.
Come creare il piano di formazione GDPR
Se la formazione GDPR va fatta, si dovrà predisporre il piano tenendo in considerazione il modello organizzativo e la specifica realtà dell’azienda; in particolare si dovrà verificare come le responsabilità sulla privacy siano distribuite all’interno dell’azienda. Si dovrà ad esempio capire se sia prevista una struttura a livello intermedio (referenti privacy) e se sia stata allocata una responsabilità privacy tra i vari responsabili dei reparti.
In questo caso va prevista una formazione specifica per queste figure, diversa dalla formazione generica dedicata ad addetti e persone autorizzate a trattare i dati, finalizzata principalmente a capire come la normativa GDPR si cali nella loro realtà quotidiana. Per i referenti e le figure dotate di responsabilità serve invece una formazione GDPR specifica.
Andrebbe infine considerata una formazione GDPR rivolta al board e ai manager, ricorrendo a strumenti agili e veloci, per sensibilizzarli con la comprensione dell’importanza della privacy e di alcuni concetti base.
Verificare il livello di competenza di partenza
Per definire in modo efficace il piano di formazione GDPR o per aggiornarne uno esistente, andrebbe fatto un assessment del livello delle competenze dell’azienda all’istante zero.
Per farlo si possono utilizzare i risultati finali di un precedente piano di formazione; se non fossero disponibili, è consigliabile effettuare una survey preliminare, con rilevazione attraverso questionari (preferibilmente gestiti attraverso tool dedicati) per verificare, non tanto il livello di competenza delle singole persone (come nei test di fine corso), quanto la conoscenza media dell’azienda sulle diverse tematiche.
Per concentrare gli sforzi della formazione GDPR è utile identificare le eventuali lacune:
- Nei vari settori, per sapere come sono distribuite le competenze nelle diverse unità aziendali;
- Nelle aree di competenza, per verificare quali sono i temi (ad esempio data breach, esercizio dei diritti degli interessati…) su cui ci sono competenze diffuse e dove invece sono carenti.
Mettere in atto il piano di formazione GDPR
Il piano dovrà contenere le modalità di erogazione della formazione, in presenza o a distanza, via webinar con la presenza di un docente sincrono, attraverso piattaforme online, o con soluzioni blended, che vedono l’integrazione dei diversi strumenti.
La registrazione della partecipazione agli eventi formativi e l’erogazione di un test finale di fine corso sono fondamentali per la verifica dell’apprendimento, non in una logica di controllo fiscale quanto per verificare i livelli di conoscenza sulle diverse tematiche e da parte delle diverse aree aziendali.
In ottica di accountability è importante verificare se c’è stato un miglioramento e, dal punto di vista dell’imprenditore o del capo azienda, rappresenta un importante riscontro che l’investimento in formazione GDPR è servito per migliorare il livello di consapevolezza delle loro persone.
Chi attua il piano di formazione GDPR? Il DPO non è tenuto a erogare la formazione in prima persona ma lo fa solo su richiesta dell’azienda che può erogarla anche con risorse interne o avvalersi di un ente esterno su contenuti validati dal DPO.
In conclusione, per realizzare il piano di formazione GDPR l’azienda che sceglie di avvalersi di un servizio di DPO esterno, è utile verificare la disponibilità di un modello di formazione GDPR blended, preferibilmente con una piattaforma per effettuare l’erogazione della formazione online, e di uno strumento per la realizzazione della survey delle competenze per verificare il livello di partenza e il miglioramento dopo la formazione.
Paolo Calvi – Data Protection Officer presso P4I – Partners4Innovation