Come molte attività nell’ambito della Sicurezza delle Informazioni, di cui la Data Protection rappresenta la metodologia che si focalizza sulla protezione dei dati personali, l’impresa non può ritenersi veramente strutturata se non arriva alle persone.
Tutte le persone che all’interno dell’organizzazione trattano dati personali devono essere adeguatamente formate, istruite e aggiornate affinché il loro operato resti, non solo all’interno di procedure aziendali e istruzioni operative chiare, ma divenga un atteggiamento di cura e rispetto delle libertà personali attraverso un corretto trattamento dei dati personali.
Portare le nostre persone a non vedere la normativa come l’ennesima scocciatura burocratica, ma come un modo migliore ed etico di fare il proprio lavoro, non è impresa facile, soprattutto se l’impresa non sa chi dei suoi collaboratori tratta i dati personali.
Un primo passo per definire attività mirate di formazione in ottica Data Protection deve per forza passare da una mappatura degli autorizzati al trattamento.
Chi è l’autorizzato al trattamento?
L’autorizzato al trattamento, è una persona fisica che materialmente svolge operazioni sui dati personali. L'autorizzato opera in subordinazione al titolare del trattamento, ma anche del responsabile se nominato. Ovviamente, tutti gli autorizzati possono essere nominati con diversi livelli di delega. Il regolamento europeo, non prevede una vera espressa nomina, ma impone la definizione di istruzioni operative che l’autorizzato deve eseguire, nel rispetto dei suoi compiti.
Per semplicità possiamo pensare a noi stessi come autorizzati al trattamento e alla nostra azienda come titolare del trattamento (o responsabile per conto del titolare, ma non complichiamo le cose).
Quel che si evince dalla definizione è che l’ottimo sarebbe riuscire ad armonizzare la formazione e la preparazione dei collaboratori in base alle tipologie di trattamento operate e alle tipologie di dati personali trattati.
È facile immaginare ad esempio, che il livello di preparazione dei collaboratori attivi all’interno del reparto HR, sia necessariamente di un livello superiore rispetto ad altri ruoli aziendali. Questo per le particolari tipologie di dati trattati che possono comprendere ad esempio “dati particolari” particolarmente attenzionati dalla normativa.
Ma ritorniamo al titolo dell’articolo, il punto di partenza è sempre e comunque una mappatura degli autorizzati al trattamento o come sarebbe meglio dire una fotografia di quali ruoli trattano dati personali per conto del titolare.
Se non abbiamo questa informazione non possiamo certamente attivare le misure successive. Per semplificare il ragionamento possiamo seguire una checklist di domande logicamente consequenziali.
- Quali ruoli aziendali trattano dati personali?
- Che tipo di trattamenti operano e su quali tipologie di dati personali impattano?
- Alla luce della domanda 2, quale livello di delega è bene concedere al ruolo?
- In base alla delega che si intende concedere, qual è il livello di competenza sul tema, che il ruolo deve possedere?
Da queste quattro domande si possono quindi immaginare percorsi formativi adeguati alla necessità del ruolo. Certamente la mappatura dei ruoli da autorizzare al trattamento non che prevedere aggiornamenti periodici che tengano presente anche le carriere interne, ossia la necessità di monitorare i cambi ruolo e la relativa necessità di modificare le deleghe al soggetto e quindi inevitabilmente colmare eventuali lacune formative tra i ruoli.
Ruoli o persone?
Stressiamo spesso questo concetto poiché parlare di ruolo non è non deve essere sinonimo di persona. In qualsiasi attività di mappatura che impatta sui collaboratori aziendali è importante non incorrere nell’errore di scambiare persone con i ruoli che esse ricoprono all’interno della nostra organizzazione.
Questo principio, che per i professionisti dell’HR è ovviamente cristallino, può invece portare pericolosamente fuori strada il manager che non ha questa preparazione.
Definire percorsi formativi per migliorare la postura rispetto alle tematiche di Data Protection è lo stesso che chiedersi:
quali competenze deve avere il collaboratore che riveste il ruolo di mulettista per fare bene il proprio lavoro?
Che non è una domanda sovrapponibile a:
Giovanna la nostra segretaria tratta dati personali, facciamole fare il corso sul GDPR?
Spersonalizzare i ruoli è l’unico modo per evitare i seguenti errori e sprechi:
- Tutti devono diventare cintura nera di GDPR.
- Lui/lei aveva fatto 5 anni fa 4 h di corso sul GDPR. Non capisco come sia possibile che si commettano certi errori.
- Lui/lei ha fatto il corso 5 anni fa quando era stagista. (sì, ma ora è dirigente!)
Perdonerete la non necessità di spiegare ulteriormente questi esempi e la non necessità di chiarire lo spreco di tempo di denaro rispetto ad un risultato che sarà sicuramente insufficiente e che certamente non potrà garantire all’azienda la corretta postura.
Concludendo
Un’attività di mappatura degli autorizzati al trattamento ha come obiettivi:
- Definire chi all’interno dell’azienda debba trattare i dati personali
- Assegnare deleghe di trattamento in base al ruolo del collaboratore
- Formare gli autorizzati al trattamento, definendo check point ed aggiornamenti
Come accade spesso per le tematiche di Infosec e Cybersecurity, è l’errore umano la causa principale di errori nella gestione e nel trattamento dei dati personali.
Il maggior pericolo operativo per le aziende è la pubblicazione o la trasmissione di dati personali a soggetti non autorizzati o a soggetti che tratteranno i dati in modo malevolo.
Immaginiamo un’azienda che lavora nell’ambito sanitario che per un errore del collaboratore addetto alla gestione delle PEC invia i referti medici dei pazienti ai soggetti sbagliati, o come succede spesso l’uso del Ccn per sbrigare l’invio massivo mette in chiaro tutti gli indirizzi e-mail delle persone che stanno sperimentando una nuova terapia oncologica.
La riduzione del rischio passa per forza da un approccio formativo verso i ruoli e le risorse.