“Il nemico è dentro casa”!
Un’affermazione forse forte, ma rappresenta bene una realtà: ovvero che il principale rischio per le informazioni e i dati aziendali è spesso rappresentato dal comportamento non corretto degli utenti, a sua volta legato a una formazione inadeguata o, addirittura, inesistente. In altri termini, una formazione efficace sui rischi e sull’uso degli strumenti aziendali può sembrare una misura banale, ma se ben organizzata è altamente utile a prevenire danni ingenti derivanti dal comportamento errato del proprio personale.
Anche il Regolamento UE 679/2016 (GDPR) sottolinea l’importanza della formazione.
Indice
I rischi della mancata Formazione, dai casi eclatanti …
I rischi per le infrastrutture aziendali, stracolme di dati personali, spesso derivano proprio da una formazione lacunosa. Una mala gestione del dato può infatti causare una lesione dei diritti garantiti dalla normativa, fino ad arrivare a violazioni e conseguenze molto gravi. Frequenti sono i casi di data breach innescati da comportamenti scorretti, come ad esempio l’apertura di un allegato malevolo di una mail di phishing, fino ad arrivare all’inserimento di device infetti nei dispositivi aziendali.
Celebre è il caso Stuxnet, uno dei virus informatici più distruttivi di sempre, utilizzato per il clamoroso cyber-attacco che colpì l’impianto di arricchimento dell’uranio di Natanz, dando vita a una vera e propria guerra cibernetica. Pare ormai appurato che l’inizio del contagio da parte di Stuxnet sia avvenuto all’interno della centrale stessa, tramite una chiavetta USB infetta, raccolta all’esterno da un dipendente e incautamente inserita in un dispositivo aziendale. Ancora oggi le chiavette USB e i device in generale sono un metodo facile e poco sospettabile per iniettare codice malevolo. La maggior parte delle persone, infatti, le inserisce nel computer senza preoccuparsi troppo di eventuali virus che queste possono contenere.
Istruendo il personale della centrale rispetto a questo pericolo e adottando una policy efficace, probabilmente si sarebbero potute mitigare conseguenze e strascichi dei successivi conflitti. Per quanto si tratti di un caso limite ed estremamente grave, fa riflettere su come una semplice ingenuità, senza una preventiva formazione, possa portare a conseguenze disastrose.
… ai casi di tutti i giorni
Di ben altra entità, ma non per questo meno preoccupanti per organizzazioni e imprese che ne pagano le conseguenze, sono i danni causati dall’interno, in assenza di una controparte malevola, e spesso frutto di errori, distrazioni o carenza di istruzioni.
L’invio di una mail contenente informazioni sensibili a destinatari errati, lo scambio di anagrafiche tra due interessati, l’errato salvataggio di file riservati in cartelle pubblicamente accessibili: sono tutti possibili esempi di quotidiana vita aziendale, tanto “banali” quanto potenzialmente dannosi.
Per entrare ancora più nel dettaglio, prendiamo ad esempio il ruolo di un programmatore davanti alla richiesta di progettare un web form per la newsletter aziendale. Se non correttamente formato sui principi della normativa, come quello della minimizzazione del dato (la raccolta di dati personali deve limitarsi ai soli dati indispensabili, pertinenti e limitati a quanto necessario per il perseguimento delle finalità), oltre all’indirizzo e-mail – di fatto l’unico dato personale necessario e pertinente per la newsletter – potrebbe inserire altri campi e richiedere dati personali non essenziali. Ciò comporterebbe così l’inosservanza del succitato principio di minimizzazione, con tutte le conseguenze che tale violazione comporta.
È proprio su questo genere di rischi che la formazione può avere un effetto sostanziale, limitando le criticità in ambito di sicurezza, e risultando utile anche ad evitare possibili contestazioni o sanzioni in merito al rispetto dei principi fondamentali del trattamento di dati personali.
La formazione come “adempimento” nel GDPR
Il concetto di formazione era già previsto nel Codice Privacy Dlgs.196/2003, che introduceva l’importanza di rendere edotti gli incaricati dei rischi che incombono sui dati e delle misure disponibili per prevenire eventi dannosi. L’importanza di questo fondamentale concetto è stata in seguito rafforzata dal Regolamento UE 679/2016 (GDPR) che ne ha inoltre sancito l’obbligatorietà.
Sono diversi, infatti, gli articoli del Regolamento che si riferiscono alla formazione e la inseriscono come un vero e proprio adempimento. Ad esempio: “è fatto compito del Titolare e del responsabile del trattamento di istruire chiunque abbia accesso ai dati personali” e, ancora, “rientra tra le competenze del DPO la possibilità di formare il personale”.
La formazione, poi, può essere intesa come una vera e propria misura organizzativa di sicurezza che contribuisce al rispetto dell’art. 32 GDPR e, se documentata, del principio dell’accountability (responsabilizzazione).
Tutto ciò costituisce un ulteriore elemento di garanzia della centralità e dell’effettività della formazione che potrà, nella logica del regolamento, anche essere oggetto di specifici audit. E assai frequente, infatti, che tra le misure controllate dal Garante in sede ispettiva, al centro dell’indagine ci sia proprio la formazione. E nel caso in cui i controlli riscontrino l’assenza di un adeguato piano formativo, le imprese possono essere soggette a sanzioni.
Conclusioni e consigli pratici
La formazione, quindi, se da una parte, in caso di inadempienza, può diventare una carenza nel completo adeguamento al GDPR, quando correttamente erogata è invece una misura efficace che può aiutare a prevenire rischi per i dati e le informazioni aziendali.
Un importante alleato, quindi, che non dev’essere visto come ostacolo alle attività dell’azienda o come pura formalità.
Tuttavia, nella pratica, molte organizzazioni sono disincentivate a intraprendere percorsi formativi non solo per i costi elevati (intesi anche come costo “occulto” del tempo del dipendente impegnato nel percorso di formazione), ma anche per la difficoltà organizzative, come per esempio l’alto turnover del personale.
Possono però esserci diverse soluzioni per bilanciare i costi con i vantaggi.
Una soluzione sempre più spesso adottata dalle aziende è l’utilizzo di videocorsi o tutorial, visualizzabili anche più volte e in qualsiasi momento della giornata, accompagnati da questionari di apprendimento utili a valutare le conoscenze maturate.
Strumenti come i questionari, peraltro, possono essere utilizzati anche per individuare eventuali criticità, aree di miglioramento, raccogliere feedback sulla qualità del percorso formativo, ma anche rilevare fabbisogni di apprendimento non coperti dai percorsi formativi in corso.
La pandemia, poi, ci ha insegnato che anche la formazione a distanza attraverso i webinar può essere efficace, e presenta l’ulteriore vantaggio di poter raggiungere tutto il personale da coinvolgere, con la garanzia, inoltre, di avere un docente a cui rivolgere tutte le domande e spiegazioni necessarie.
Questo, ovviamente, senza voler eliminare la formazione “classica”, la quale può solo che beneficiare dell’uso di altri strumenti come i tutorial, che consentono di sfruttare al massimo il momento “in presenza”, diversificando le sessioni a seconda delle funzioni coinvolte, magari concentrandosi solo sulle principali criticità e bisogni dell’audience (ed eliminando anche parte dei costi!).
Resta intesto che la formazione, come la maggior parte degli adempimenti del GDPR, è un processo che va pianificato, realizzato, dimostrato e aggiornato in base al cambiamento delle esigenze dell’Azienda.
In conclusione, la formazione, oggi, per essere efficace non solo “in teoria” deve essere pensata e progettata nelle organizzazioni tenendo in considerazione non solo il contesto dell’Azienda (es. tipo di trattamento dati, strumenti utilizzati e organizzazione), ma anche gli strumenti per l’erogazione della stessa che meglio ne garantiscono l’efficienza.