Enti pubblici e settore privato in affanno con la privacy

Norme privacy oscure mettono all’angolo gli enti pubblici e anche il settore privato. I dati rilevano che dal 2020 al primo quadrimestre 2021 oltre il 71% delle sanzioni per violazioni della privacy è stata irrogata a Pubbliche amministrazioni e il 28,8% ad aziende. In quel periodo sono state emanate un totale di 80 ordinanze-ingiunzioni, di cui 57 a pubbliche amministrazioni e 23 a privati. Se le sanzioni alle aziende private arrivano, come abbiamo visto, a importi milionari, quelle rivolte alle pubbliche amministrazioni preoccupano per la loro capillare diffusione, sia tra amministrazioni centrali sia tra enti locali. Riscontriamo quindi Enti Pubblici e il settore privato in affanno con la gestione privacy. I numeri riportati sono stati elaborati contando i provvedimenti pubblicati sul sito del Garante della privacy. Si evince inoltre che il numero delle sanzioni inflitte alle amministrazioni civiche tocca addirittura il 31%.

Gli enti pubblici sanzionate sono:

  • l’arma dei carabinieri
  • una capitaneria di porto 
  • il ministero dell’interno
  • scuole e università 
  • ospedali e aziende sanitarie 
  • comuni

Siamo definitivamente entrati dal 25 maggio 2018 nell’era della privacy europea pianificata sulla base del Regolamento Ue 2016/679 (GDPR). Pare però che il regolamento Ue non abbia ancora realizzato l’unificazione normativa del vecchio continente in materia di protezione dei dati. Anzi, ci troviamo in uno stato confusionale dove confluisce l‘unico corpo normativo europeo, generico, con in contesti nazionali molto differenti.

I dati rilevati evidenziano quanto sia difficile essere in regola con la privacy, in mancanza di chiarezza ed uniformità. A pagare lo scotto di questa situazione sono cittadini, imprese e pubbliche amministrazioni. Sembra sia tanto difficile al punto che anche le amministrazioni statali centrali sono state punite con sanzioni pecuniarie.

Questi effettivi tre anni del GDPR, hanno fatto emergere che i titolari di trattamento siano in affanno per riuscire a stare al passo con norme forse troppo avanzate. Non è facile per enti pubblici e il settore delle aziende private sapere come gestire la privacy.

Questa constatazione vale prioritariamente per le pubbliche amministrazioni e anche per le imprese, nel cui ambito tra i sanzionati non ci sono solo gli operatori di telecomunicazioni e di marketing, ma anche operatori della ristorazione, dei trasporti e della distribuzione.

Considerando quindi tutto ciò, il Garante ha pubblicato il provvedimento n.186 del 29 aprile 2021 con lo scopo di fornire chiarimenti necessari riguardo designazione, posizione e compiti del DPO nelle pubbliche amministrazioni. (vedasi il nostro precedente blog)

Cosa può fare la pubblica amministrazione per scongiurare ispezioni e sanzioni?

Regolamento degli uffici 

In tutti gli atti e provvedimenti amministrativi di regolamentazione e pianificazione degli uffici è da tener presente la funzione del DPO. Trattandosi di un incarico che deve operare senza conflitti di interessi, è questa la sede per esplicitare le ragioni della scelta. Inoltre vanno individuate i criteri di scelta, le garanzie di autonomia e indipendenza, le ripercussioni a proposito di rapporti di gerarchia, la posizione nell’organigramma, la durate dell’incarico e le eventuali modalità di successione.

Scelte organizzative 

La grande sfida è evitare conflitti di interesse sia quando si sceglie un DPO interno sia quando si incarica un esterno. Il Garante non esclude a priori la possibilità di scegliere un DPO interno, ma se l’ente pubblico opta per quella possibilità, deve necessariamente premurarsi delle giustificazioni poste alla base di tale scelta. In più deve aver disciplinato come gestisce il possibile conflitto di interessi. Un esempio calzante per l’ipotesi di conflitto d’interessi è la nomina da DPO di un fornitore che già fornisce altri servizi. Una scelta simile è ovviamente sconsigliata. Tuttavia, se si opta per una nomina del fornitore esistente bisogna motivare la scelta e queste motivazioni devono fare appello non soltanto alla professionalità dell’operatore, ma anche alle cautele a presidio della autonomia e indipendenza della funzione di DPO. Significa che il contratto con il fornitore deve contenere una serie di clausole cautelative quali: 

  • la assicurazione che nell’organizzazione della società esterna le attività di DPO vengano svolte da un soggetto che non svolge mansioni di fornitura di altri servizi;
  • le tutele del referente da possibili atti ritorsivi o negativi da parte del suo datore di lavoro;
  • continuità dell’attività del referente DPO a prescindere dalle vicende della fornitura di altri servizi.

Inoltre, deve essere gestito l’obbligo da parte del DPO di comunicare all’ente ogni evenienza che metta in dubbio la sua autonomia, l’obbligo di astenersi da atti e condotte in conflitto di interessi, le modalità per il subentro di altri quando non sarà possibile risolvere il conflitto. 

Le gare degli enti pubblici

L’Ente pubblica applica, nella scelta del DPO esterno, le regole stabilite dal codice dei contratti pubblici. Quindi deve indicare i requisiti di partecipazione e i criteri di selezione. Il provvedimento del Garante invita alla cautela. Poiché sono illegittime le cause di esclusione dalla partecipazione in relazione al mancato possesso di un titolo abilitante. La ragione sta nel fatto che non c’è un titolo abilitante specifico per il ruolo da DPO. Non sarà quindi possibile riservare la partecipazione ad una determinata categoria professionale o ai possessori di certificazioni volontarie.

Ma se questo sembra facile, basta non inserire clausole restrittive, la difficoltà sta nel trovare i criteri per valutare le candidature presentate e come pesare i diversi parametri. I parametri possono derivare da titoli di studio, certificazioni, esperienza nel campo o anni di lavoro in posizioni analoghe. Un ulteriore elemento da valutare è la durata del servizio e il compenso. Il Garante, a tale proposito, ha fornito l’indicazione del periodo di tre anni oltre a non aggiudicare la gara a ribasso del prezzo.  

Conclusione

Anche se a distanza di cinque anni dall’entrata in vigore del Gdpr e di tre anni dalla piena operatività dello stesso mancano importanti pezzi di normativa, il Garante ha fornito chiare indicazioni al fine di adempire al GDPR. Sta ora alle pubbliche amministrazioni di adoperarsi con controlli e verifiche al fine di evitare controlli e sanzioni. Ormai abbiamo compreso che la corretta gestione dei dati personali, sia nella pubblica amministrazione sia nel settore privato, è un compito importante e da affidare a chi di competenza. L’improvvisazione e le scelta basate su favoritismi o a ribasso del costo, si sono rivelato in tanti casi, molto più costosi. Sia le enti pubblici sia il settore privato devono velocemente affrontare la gestione dei dati per non rimanere in affanno con la privacy.

Per approfondimenti specifici o semplice richieste d’informazioni in generale prenoti il suo appuntamento personale con un nostro consulente.

La prima consulenza è sempre gratuita.

Fonte: Federprivacy.it

Le linee di indirizzo sul DPO nella pubblica amministrazione

Il Garante per la Privacy ha pubblicato un documento di indirizzo su designazione, posizione e compiti del Responsabile protezione dei dati in ambito pubblico.

Dopo tre anni dalla piena applicazione del Regolamento UE, il Garante ha rilevato l’esigenza di fornire chiarimenti perché risultano ancora diverse incertezze che impediscono la definitiva affermazione di questa importante figura. Sembra che il ruolo del DPO nelle pubbliche amministrazioni non sia affidato correttamente o di fatto.

Nel documento si chiarisce quindi diverse domande ancora aperte. Qual è il ruolo effettivo del Responsabile per la protezione dei dati nella PA? Quali titoli e che tipo di esperienza professionale deve possedere? Quando è incompatibile con gli altri incarichi o può incorre in situazioni di conflitto di interessi? Come deve supportare e coinvolgere, e per quali compiti?

La nomina del DPO è obbligatoria nell’ambito pubblico 

Tale figura, che tutte le PA sono obbligate a nominare (art. 37 Gdpr), costituisce un riferimento fondamentale per garantire un corretto approccio al trattamento dei dati personali. Innanzitutto, se si tiene presente la crescente necessita di trasformare anche le pubbliche amministrazioni verso i processi informatici e digitali.  

Un DPO esperto e competente, in grado di svolgere i propri compiti con autonomia di giudizio e indipendenza, rappresenta infatti, una risorsa essenziale per le PA e un valido punto di contatto per l’autorità di controllo.

Stop alla incetta di nomine di DPO 

Il Garante mette quindi un freno alla nomina di Responsabile per la protezione dei dati a fornitori esterni di Servizi technology e di avvocati che difendono l’ente.

Risulta illegittimo riservare le gare per scegliere tale figura a chi ha un particolare titolo (laurea, certificazione, iscrizione a un albo). La designazione del DPO per le pubbliche amministrazioni è un compito complesso e di grande responsabilità. 

Di seguito le indicazioni più rilevanti fornite dal Garante della privacy con il «Documento di indirizzo su designazione, posizione e compiti del Responsabile della protezione dei dati in ambito pubblico» che si trova in allegato al provvedimento del Garante n. 186 del 29/4/2021. È doveroso sottolineare che è comunque l’ente a sceglie il referente DPO a sua discrezione e responsabilità.

Chi può essere designato come DPO

  • Cumuli di incarichi – Sono da evitare i troppi incarichi allo stesso Responsabile per la protezione dei dati esterno. L’ente dovrà verificare il numero di incarichi già ricoperti dalla società o dal professionista prescelto oltre alla specializzazione. In caso l‘ente scelga una società, dovrà valutare la presenza di adeguate risorse a supporto del DPO nominato.
  • Il difensore legale – Il Garante invita le Pubbliche amministrazioni di non nominare un DPO che, contemporaneamente, svolge per le medesime il ruolo di difensore in giudizio.
  • Il fornitore IT – Particolare attenzione viene posta al settore IT, poiché la regola prevede di non designare come DPO un soggetto esterno che già fornisce servizi all’ente. Nel caso non si possa fare diversamente, l’ente deve dichiarare per iscritto la motivazione di tale scelta e che non svolgono i compiti connessi alla fornitura (rigida separazione tra attività di DPO e gli altri servizi). 

La posizione del DPO

  • I conflitti di interesse – Un punto fondamentale nella protezione dei dati, derivante dal GDPR (art.38, comma 3), che richiede una attenta valutazione caso per caso. Si distingue quindi gli enti di carattere nazionale e/o territoriali di grandi dimensioni, nei quali sono incompatibili il direttore risorse umane, contabilità o il responsabile IT al ruolo di DPO interno. Negli enti più piccoli, si deve fare un’attenta riflessione caso per caso, esplicitando le ragioni della nomina di dipendenti. Se si tratta invece di componenti di organi collegiali, ci sono maggiori spazi, sempreché sia prevista l’astensione in caso di conflitto di interesse o cautele simili.
  • La gerarchia – L‘autonomia di giudizio e indipendenza deve essere garantita e quindi va preferito, per la nomina del DPO interno, un dirigente o a un funzionario di alta professionalità. Nel caso l’ente scelgaun funzionario, occorre l’adozione di idonee garanzie di indipendenza, considerato che il DPO potrebbe valutare la condotta di un dirigente.
  • I titoli – Non è consentito scegliere il DPO in base a determinati titoli, quali laurea, iscrizione ad un albo professionale, certificazione o altro. Persino la certificazione volontaria (UNI 11697) è soltanto un elemento utile, ma non un’autorizzazione a priori.
  • Il referente – Se l’ente affida il servizio di DPO a una società, va indicata una persona specifica come referente. Il referente indicato da DPO, persona giuridica, non deve necessariamente essere undipendente della società incaricata. È opportuna una clausola contrattuale che obblighi la persona giuridica affidataria a comunicare all’ente qualsiasi variazione della persona fisica.

Ricompenso e durate dell’incarico

  • La durata dell’incarico – Si ritiene come congruo periodo di incarico da DPO, la durata contrattuale intorno ai tre anni. Trattandosi di una linea guida, sta all’ente pubblico determinare la durata. In ogni caso deve essere rispettato il principio di rotazione, nell’affidamento dei contratti pubblici di importo inferiore alle soglie comunitarie.
  • Il compenso – Nessuna indicazione da parte del Garante sui compensi, ma l’invito a non aggiudicare il bando in base al criterio del prezzo più basso.
  • La pubblicazione – I dati di contatto del DPO devono essere pubblicati sul sito web delle pubbliche amministrazioni. Tali dati devono essere facilmente riconoscibile, in una sezione dedicata, nella sezione dell’organigramma e ai relativi contatti. Non c’è alcun obbligo di pubblicare il nome del DPO. Consigliamo di attivare una casella postale dedicata al DPO.
  • La comunicazione al Garante – I dati di contatto del DPO nominato devono essere comunicati al Garante tramite l’apposita sezione sul sito web. Nella stessa sezione vanno comunicati anche le eventuali successive variazioni come per esempio nel caso di cambio nomina. È prevista una sanzione amministrativa per il mancato aggiornamento dei dati di contatto del DPO, sia sul sito web dell’ente sia nella relativa comunicazione al Garante.

Conclusione

In base alle linee guida del Garante, sarà quindi necessario per tante amministrazioni pubbliche di effettuare una revisione degli incarichi affidati. E, per chi non ha ancora conferito l’incarico, di attivarsi al più presto. Poiché il DPO assolve funzioni di supporto, di controllo, consultive e formative e che deve essere coinvolto tempestivamente e adeguatamente in tutte le attività che riguardano la protezione dei dati personali.

Oltre a dedicarsi alle evidenti necessita di fornire chiarezza per ambito pubblico, il Garante è intervenuto anche sulle FAQ riguardanti il settore privato. Poiché la figura del DPO svolge un ruolo fondamentale, pur con sensibili differenze rispetto alle PA.

Per approfondimenti specifici o semplice richieste d’informazioni in generale prenoti il suo appuntamento personale con un nostro consulente.

La prima consulenza è sempre gratuita.

Fonte: Federprivacy.it

DPIA: cos’è la valutazione d’impatto e il calcolo dei rischi

LA VALUTAZIONE DI IMPATTO ossia l’individuazione e gestione del RISCHIO

Prima di approfondire di che cosa si tratta se parliamo di una DPIA è obbligatorio chiarire inanzitutto cosa si intende per rischio. Con “rischio” , in riferimento ai “diritti e le libertà” degli interessati, va inteso come relativo al diritto della privacy, ma può essere riferito anche ai diritti fondamentali di libertà d’espressione e di pensiero, la libertà di movimento, il dievieto di discriminazione, il diritto alla libertà di coscienza e di religione. Tale diritti saranno, in base al trattamento messo in atto, più o meno esposti al rischio. Si tratta quindi di uno scenario descrittivo di un evento e delle relative conseguenze, che sono stimate in termini di gravità e probabilità per i diritti e le libertà delle persone fisiche.

Come possiamo quindi individuare e successivamente gestire i potenziali rischi nella gestione dei dati personali?

L’art. 35 del GDPR prevede la valutazione sulla protezione dei dati personali (DPIA) con riguardo a un trattamento che può presentare un elevato rischio per i diritti e le libertà delle persone fisiche. Tale imposizione legale implica quindi di poter individuare quali ambiti sono ritenuti più a rischio di altri, poiché un trattamento di dati personali non è di per se classificabile a priori ad elevato rischio.

L’indicazioni fornite del GDPR per individuare le categorie di trattamento con elevato rischio:

  • su larga scala
  • di profilazione
  • di sorveglianza di zone accessibili al pubblico su larga scala
  • che prevedono l’utilizzo di categorie particolari di dati
  • con l’utilizzo di un grado di conoscenza tecnologica elevato
  • che prevedono l’utilizzo di dati biometrici o dati relativi a condanne penali e reati o a connesse misure di sicurezza

Oppure, descrivendo l’ambito ancora più generalizzato, si tratta di trattamenti che rendono difficoltoso l’esercizio di protezione e di garantire i diritti degli interessati.

Chi deve eseguire la DPIA?

Il Regolamento descrive chiaramente che il soggetto cui spetta il compito di gestire il rischio che incombe sui dati personali e valutarne il livello è il titolare del trattamento. Chiaramente, la dove è stato incaricato DPO, il titolare dei dati si avvale del supporto specialistico da parte del DPO. Inoltre, come anche suggerito dal Garante della privacy, la conduzione materiale della valutazione di impatto può essere affidata ad un soggetto interno o esterno all’organizzazione.

Le singole fasi del processo di gestione del rischio privacy:

  • La mappatura dei trattamenti effettuati, coincide con il registro dei trattamenti redatto. Un documento che riporta una descrizione delle tipologie di dati, degli interessati, le finalità del trattamento, dei trasferimenti e delle valutazioni del caso. Il citato registro sarà inoltre utile per effettuare la valutazione dei rischi in quanto fornisce già le informazioni utili alla valutazione.
  • La valutazione del rischio privacy sui trattamenti mappati nella fase 1, tiene in considerazione i seguenti elementi: origine – natura – gravità- probabilità- impatto sui diritti e le libertà degli interessati. La “gestione del rischio” è definibile come l’insieme coordinato delle attività finalizzate a guidare e monitorare un titolare dei trattamenti nel riguardo di tale rischio.
  • La conduzione della DPIA, è prevista dal Regolamento europeo e deve essere effettuata a monte del trattamento, cioè in fase di progettazione. Come vale anche per ogni altra azione di adeguamento, anche la DPIA deve essere verificata e aggiornata con regolarità. In questo modo si evince subito se determinate scelte di misure tecniche o organizzative siano ancora valide ed efficace o se dovranno essere adeguate alla situazione variata. Sarà inoltre importante definire e documentare eventuali ulteriori ruoli e responsabilità in rapporto alle politiche, ai processi e alle disposizioni interne scelte.
Una DPIA deve contenere:
  1. una descrizione sistematica e funzionale del trattamento
  2. gli strumenti coinvolti nel trattamento dei dati personali
  3. i codici di condotta a cui l’organizzazione ha deciso di aderire
  4. una valutazione di necessità e proporzionalità del trattamento, incluso le misure adottate
  5. una valutazione delle minacce che potrebbero comportare accessi illegittimi, modifiche indesiderate e indisponibilità dei dati, incluse relative probabilità e gravità
  6. una stima degli impatti potenziali sui diritti e le libertà degli interessati in caso di eventi fra cui illegittimo, modifiche indesiderate e indispensabilità dei dati
  7. le misure per la gestione dei rischi e mitigazione degli impatti
  8. il coinvolgimento dei soggetti interessati o opinione del DPO
  • La notifica al Garante sarà necessaria, nel caso risultino trattamenti con un livello ancora “non accettabile” dopo la fase 2 del percorso di valutazione. Il titolare dovrà quindi consultare l’autorità di controllo, avviando un iter di valutazione da parte dell’autorità competente. Nel caso in cui , alla conclusione della DPIA risultano rischi, attenuati tramite misure di sicurezza più idonei, e quindi a livello “accettabili” non occorre interpellare l’autorità Garante.

Un esempio riportato dal WP29 riguardo il cosiddetto “rischio residuale elevato” non accettabile, descrive la situazione generica derivante dall’impossibilità di ridurre il numero di soggetti in grado di accedere ai dati in base alle modalità di condivisione, utilizzo o distribuzione dei dati – i servizi in cloud, soprattutto su base gratuita. Le conseguenze derivanti per l’interessato (significative, irreversibili e non eliminabili) come la minaccia per la vita dello stesso, la perdita o sospensione del rapporto lavorativo, nonché danni di natura finanziaria, sono un rischio elevato.

Il registro delle DPIA

Come abbiamo già detto, il titolare del trattamento deve decidere quali sono le misure più idonee per attenuare i rischi emersi alla conclusione della DPIA. Lo scopo è riportarli ad un livello “accettabile”. A prescindere del resultato “accettabile” o “non accettabile” e la conseguente richiesta di valutazione al Garante, nel secondo caso, il titolare ha l’obbligo di motivare e documentare le scelte effettuate.

In pratica significa che il titolare sarà obbligato a dimostrare l’eventuale mancata conduzione della DPIA, annotando o allegando l’opinione del DPO. Risulta quindi anche qui di fondamentale importanza la valutazione del rischio (fase 2).

È richiesto inoltre un registro delle DPIA (ogni trattamento con elevato rischio ha la propria DPIA!). Tale documento si traduce nella redazione e nel mantenimento di un apposito registro o nella integrazione del registro dei trattamenti. Si nota ancora una volta, quanto siano importanti gli strumenti introdotti dal GDPR quale: registro dei trattamenti, DPO e DIPA. Nel registro emergono di conseguenza sia la mappatura delle attività di trattamento effettuate si la valutazione del rischio annesso e l’eventuale pianificazione delle misure di sicurezza necessarie per mitigare i rischi e impatti sulla privacy.

Le misure per la gestione del rischio – accountability

La mitigazione del rischio e l’accountability sono tasselli chiave nel processo di una DPIA. Dobbiamo tenere presente di adoperare le misure corrette e commisurate al fine di mitigare o limitare il rischio. Inoltre siamo obbligati di tenere traccia non solo della valutazione stessa, delle misure messe in atto ma anche della decisione di non fare nulla. Vediamo le misure di sicurezza da poter operare:

  • qualità dei dati
  • cifratura
  • conservazione adeguata
  • Anonimizzazione dei dati
  • minimizzazione
  • Misure tecnologiche: policy di sicurezza logiche e fisiche, aggiornamenti servizi e software, test, controllo accessi e tracciamento operazioni
  • Misure organizzative: ruoli, governance, istruzioni, formazione, procedure, audit, strumenti di controllo per gli interessati, contatti

Conclusione

Una valutazione dei rischi privacy si articola in vari fasi di attività che riguardano aspetti privacy e sicurezza. Tutti i singoli processi sono da analizzare contestualmente. I componenti che compongono il processo di valutazione del rischio, se sono ben identificati e analizzati, costituiranno la traccia per realizzare una valutazione pertinente ed efficiente. Una valutazione adattabile ad ogni contesto ed in grado di indicare al titolare del trattamento se sia necessario procedere con la notifica al Garante o assumersi la responsabilità di procedere al trattamento.

Noi ti aiutiamo con competenza ed esperienza a individuare e mitigare i rischi privacy nella tua attività.

seminario online gratuito

Formare i dipendenti sul GDPR: come farlo e perché è importante per le aziende

La formazione sulla protezione dei dati è uno strumento importante per lavorare in conformità con il GDPR. Sensibilizzare i propri dipendenti significa mettere le basi per impiantare la protezione dei dati in azienda. I vostri dipendenti non dovrebbero essere espressamente formati per diventare specialisti nella protezione dei dati. Non vi è alcun obbligo esplicito di formare i dipendenti dalla legge.

Entriamo quindi subito nel dettaglio, approfondendo le aree più importanti.

La base giuridica per la formazione obbligatoria secondo GDPR

Prima di tutto, va detto che non vi è alcun obbligo di fornire formazione sulla protezione dei dati. Tuttavia, risulta dalle singole attività che possono essere svolte dai dipendenti, che devono essere qualificati per tali incarichi.

Quindi dovrebbero essere in grado di affrontare obblighi come per esempio:

  • Obbligo di segnalare le violazioni dei dati (di solito sono i dipendenti a scoprirle per primi)
  • Obbligo di fornire informazioni alle persone interessate (i clienti contatteranno direttamente i propri dipendenti con richieste)
  • Obblighi di cancellazione (i dati non possono essere conservati a tempo indeterminato)
  • Rapporti con le autorità di vigilanza
  • Attenta gestione dei dati personali (questa è responsabilità del responsabile del trattamento, ma i dipendenti di esso lo eseguono)

Inoltre, il responsabile della protezione dei dati, nella misura in cui è stato nominato, è responsabile dell’informazione e della consulenza dei dipendenti dell’azienda sulla protezione dei dati. Questo spesso si traduce nel DPO che assume la direzione della formazione.

Inoltre, l’imprenditore (o il responsabile) ha una responsabilità per il rispetto del GDPR e questo include anche misure organizzative per conformarsi alle normative.

Oltre a questi obblighi derivati, ci sono anche altri motivi che parlano a favore della consapevolezza, ossia la formazione, del GDPR. La sicurezza del tuo IT è rafforzata se tutti i dipendenti sanno come gestire i dati. Inoltre, un comportamento responsabile da parte dei dipendenti può avere un effetto positivo sulla fiducia dei tuoi clienti.

Come istruirsi in base al GDPR (in loco, online, e-mail o altro)

Non ci sono inoltre specifiche per il tipo di formazione dei dipendenti dal GDPR. Tuttavia, è consigliato eseguire questa operazione in modo verificabile. Questo può essere fatto, ad esempio, con un protocollo di allenamento. Sono disponibili online anche soluzioni di e-learning.

Un’altra opzione è inviare i materiali di formazione tramite e-mail e richiedere la conferma tramite essa. Ogni persona responsabile deve decidere autonomamente se questa è una misura efficace per la formazione.

L’opzione migliore è prenotare seminari dal vivo. Questi possono avvenire internamente o puoi inviare i tuoi dipendenti al luogo di formazione. In ogni caso va valutato anche la proporzionalità del costo. E spesso conviene optare per la formazione online.

Si consiglia cautela durante il controllo dell’apprendimento. Ciò può portare al rifiuto, soprattutto da parte dei comitati aziendali, in quanto rappresentano il monitoraggio dei dipendenti.

Da non dimenticare è l’impegno per la protezione dei dati e la riservatezza, che dovresti far firmare a ogni dipendente.

In un corso di formazione GDPR dovrebbe essere compreso il seguente contenuto:

In generale, il seguente contenuto dovrebbe essere integrato:

  • Creare consapevolezza sui problemi di protezione dei dati
  • Capacità di comportarsi nel rispetto delle normative sulla protezione dei dati
  • Promozione di comportamenti conformi alla protezione dei dati.

In particolare, possono essere affrontate le seguenti domande:

  • Cos’è il regolamento generale sulla protezione dei dati dell’UE?
  • Cos’è la protezione dei dati?
  • Cosa sono i dati personali?
  • Categorie speciali di dati personali
  • Chi sono gli attori della protezione dei dati?
  • Quali sono i principi del trattamento dei dati personali?
  • legalità del trattamento
  • trasparenza
  • Minimizzazione dei dati
  • termini di archiviazione
  • Integrità, riservatezza e sicurezza
  • Qual è la differenza tra la protezione dei dati by Design & by Default
  • Protezione dei dati fin dalla progettazione
  • Protezione dei dati tramite impostazioni predefinite ottimizzate per la protezione dei dati (Protezione dei dati per impostazione predefinita)
  • I diritti dell’interessato e gli obblighi del responsabile
  • Trasferimento dei dati in paesi extra UE
  • Argomenti speciali
  • Il responsabile della protezione dei dati (DPO)
  • Documentazione e GDPR
  • Quando qualcosa va storto (violazioni dei dati)
  • Uso conforme alla protezione dei dati dei dispositivi mobili
  • Multe e sanzioni
  • Sicurezza informatica
  • Protezione tramite password
  • Sicurezza dei sistemi

Se progetti questo contenuto in modo accattivante e, ad esempio, lo presenti come parte di una presentazione PowerPoint (ppt) e poi prepari un protocollo di formazione, hai fornito una buona sessione di formazione sul GDPR.

Non sono da dimenticare anche eventuali corsi di formazione speciali, ad esempio per comitati aziendali o dipendenti che trattano dati dei clienti particolarmente sensibili.

Gruppo di dipendenti e frequenza dei corsi di formazione in materia di GDPR

In linea di principio, tutti i dipendenti che entrano in contatto con i dati personali hanno diritto alla formazione. Quindi soprattutto i dipendenti che elaborano i dati di clienti, pazienti o altri dipendenti. In realtà è consigliabile insegnare a tutti i dipendenti le basi della protezione dei dati al fine di garantire un pari livello in tutta l’azienda.

Un corso di formazione annuale viene offerto come un ciclo, in modo che il tema della protezione dei dati rimanga attuale e nella mente dei dipendenti. Sarebbe anche consigliato una formazione nel momento in cui sorgono nuovi problemi di protezione dei dati, ad esempio l’introduzione di un nuovo strumento o sentenze speciali di tribunali in materia.

Le 4 più frequente domande sulla formazione dei dipendenti GDPR

Quando devo seguire un corso di formazione sulla protezione dei dati?

In linea di principio, la formazione dovrebbe essere svolta prima che i rispettivi dipendenti inizino a trattare i dati personali. Questo può essere fatto, ad esempio, come parte di un onboarding.

Altrimenti, ovviamente, la formazione dovrebbe avvenire il prima possibile.

Con quale frequenza devo formare i miei dipendenti in materia di protezione dei dati?

Si consiglia un ciclo annuale. Tuttavia, non ci sono requisiti legali o linee guida per questo.

Inoltre, la formazione dovrebbe essere effettuata se ci sono modifiche legislative o nel caso dell’introduzione di nuovo software.

Sono persino obbligato a formare i miei dipendenti in materia di GDPR?

No, in linea di principio non esiste un obbligo legale specifico. Tuttavia, le autorità controllano nei loro questionari se la formazione è in corso.

Nel complesso, tuttavia, il dovere alla formazione può essere ritenuto derivante dalla responsabilità in capo al titolare del trattamento. Come puoi dimostrare di prendere sul serio la protezione dei dati in azienda se non garantisci una adeguata formazione al personale?

Esiste un formato prescritto per come dovrebbe svolgersi la formazione GDPR?

No, anche per il contenuto del corso non esistono linee guida. Fondamentale rimane sempre che si possa documentare l’implementazione, ad esempio tramite un protocollo di formazione o un software.

In conclusione: la formazione sul GDPR è uno strumento importante

Fa aderire i propri dipendenti ai corsi di formazione al GDPR, e quindi come gestire i dati personali non deve degenerare in giorni di formazione interminabili; ci sono alternative alla formazione faccia a faccia che possono anche essere efficaci. Nel complesso, la formazione annuale sulla protezione dei dati è appropriata, quindi l’argomento rimane nella mente delle persone.

Noi ti aiutiamo con competenza ed esperienza a formare ed aggiornare il tuo personale.