GDPR: la costruzione di un sistema di gestione privacy passa dalla formazione

Nel 2017 il mercato digitale ha segnato un +2,3%, proseguendo la sua crescita e registrando importanti cambiamenti in termini di domanda ed offerta. A confermare tali dati è il rapporto Anitec-Assinform sul digitale in Italia. Un forte contributo all’evoluzione del mercato, e soprattutto delle imprese, nel corso dell’ultimo anno, proviene dall’entrata in vigore del General Data Protection Regulation. L’impatto della nuova normativa ha svolto un ruolo chiave grazie alla sua portata ampia e dirompente, inducendo le aziende a vere e proprie trasformazioni sia sul fronte organizzativo che operativo, accelerando l’avvio di nuovi progetti e gli investimenti. Quello che il Regolamento sulla data protection chiede alle imprese, al di là degli adempimenti, è soprattutto un cambio di prospettiva e di cultura rispetto alle informazioni personali. L’elemento normativo segue un’impostazione by design e by default che deve essere presente durante l’intero ciclo del prodotto o del servizio, coinvolgendo sia i diversi comparti aziendali che la filiera di clienti e fornitori.

Ecco, allora, che entra in gioco la formazione quale strumento di supporto efficace per affrontare le sfide della digitalizzazione e dell’evoluzione normativa. Il tema non si limita alla nascita di percorsi accademici mirati in grado di creare i profili più ricercati dalle imprese, ma soprattutto deve rispondere all’esigenza di far acquisire, alle risorse già impiegate, piena consapevolezza delle disposizioni previste dal nuovo quadro normativo traducendole – concretamente – nell’ecosistema aziendale. IT Manager, Responsabili dell’Ufficio Legale interno, HR Manager, fino ai Referenti dell’Ufficio Acquisti o della Divisione Marketing sono solo alcune delle Direzioni interessate che dovranno dare un nuovo impulso a processi e procedure.

Quanto detto risulta ancor più inderogabile soprattutto se si considera l’obbligo, previsto dallo stesso Regolamento sulla data protection, di implementare piani formativi per le risorse che rispondano a requisiti oggettivi e concreti ovvero alla possibilità di essere testati, verificati e valutati. Taglio pragmatico ed un approccio interdisciplinare non sono le uniche caratteristiche richieste ai percorsi concepiti per imprese e pubbliche amministrazioni: essi devono essere finalizzati ad informare le risorse rispetto ai rischi connessi al trattamento dei dati, sia sul piano generale che specifico, e devono illustrare le misure tecniche ed organizzative necessarie per farvi fronte, oltre alle responsabilità dei soggetti coinvolti e al non meno importante quadro sanzionatorio.

A porre l’accento sulla formazione nel GDPR sono gli articoli 29 e 39 la cui violazione, o mancato rispetto, prospetta sanzioni fino a 10 milioni o il 2% del fatturato mondiale annuo. Essi recitano rispettivamente: “Il responsabile del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del titolare del trattamento, che abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso dal titolare del trattamento..” e ancora l’art. 39 “Il responsabile della protezione dei dati è incaricato almeno dei seguenti compiti: a) informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal presente regolamento nonché da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati; b) sorvegliare l’osservanza del presente regolamento, di altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo”.

Nei nuovi paradigmi tracciati dal Regolamento la preparazione continuativa rappresenta quindi un importante driver di investimento che si configura quale scelta strategica per ottimizzare i processi, ridurre gli scenari di rischio ed accrescere la reputazione aziendale sul mercato.

Gli uffici risorse umane, coadiuvati e supportati dal Data Protection Officer dove presente, dovranno pertanto provvedere ad integrare o aggiornare i propri piani di formazione, tenendo conto le specificità del core business e delle diverse competenze delle risorse coinvolte.