GDPR e formazione del personale autorizzato: come programmarla e verificarne l’efficacia

Fonte: CyberSecurity360

Il riferimento ad un’attività specifica di formazione del personale autorizzato all’interno del GDPR è inserita negli articoli 29 e 32.

In entrambi gli articoli si fa riferimento all’istruzione che chiunque agisca sotto l’autorità del titolare o del responsabile del trattamento deve ricevere dai soggetti per i quali agisce.

Il dettato dell’art. 29, a mio avviso, richiede che l’autorizzato riceva apposite istruzioni e adeguata formazione sui trattamenti che gli sono stati assegnati, in un’ottica organizzativa; così come qualsiasi risorsa impiegata in un qualsiasi processo aziendale riceverà formazione e istruzioni per poter essere inserita in organico, allo stesso modo dovrà essere formata e istruita affinché possa effettuare al meglio le operazioni relative al trattamento al quale è assegnata.

L’attività di istruzione e formazione inserita nell’art. 32, invece, va vista in un’ottica di sicurezza: tenendo presente che l’anello debole di ogni catena di sicurezza è sempre l’uomo, è pacifico che una risorsa ben formata e istruita avrà maggiore consapevolezza delle criticità inerenti alle operazioni ad essa assegnata, permettendo di ridurre le probabilità di commettere errori con conseguente impatto sulla riservatezza, sull’integrità o sulla disponibilità dei dati trattati. Continua a leggere