Il GDPR lascia al Titolare del Trattamento ampia discrezione nell'individuazione delle misure tecniche ed organizzative volte a garantire la sicurezza del trattamento (principio di accountability art. 24); ENISA, l'Agenzia dell'Unione Europea per la Cybersecurity - ha quindi dettato, nel dicembre 2016, delle linee guida denominate 'Guidelines for SMEs on the security of personal data processing' il cui obiettivo consiste nell'affiancare le piccole e medie imprese nell'adozione di misure di sicurezza tecniche ed organizzative dirette alla prevenzione dei rischi in materia di cyber security e di data protection.

       

Tra le diverse misure organizzative previste dalle citate linee guida emerge anche la formazione del personale. Nello specifico, viene espressamente indicato che "la formazione del personale è importante per la corretta attuazione delle misure di sicurezza tecniche ed organizzative. L'informazione sugli specifici obblighi legali inerenti la protezione dei dati risulta essere fondamentale, specialmente con riferimento al personale coinvolto in operazioni di trattamento a rischio elevato. Sul punto, le imprese dovrebbero assicurare che tutti i dipendenti siano adeguatamente informati sulle misure di sicurezza e sui controlli dei sistemi IT che riguardano il loro quotidiano lavoro. Inoltre, i dipendenti coinvolti nel trattamento di dati dovrebbero essere informati sugli obblighi giuridici attraverso campagne di sensibilizzazione periodiche".

       

In altri termini, le imprese dovrebbero dotarsi di un regolare programma di formazione inerente al trattamento di dati per i dipendenti, nonchè di uno specifico programma per la formazione dei nuovi assunti. In sintesi: un programma di formazione con obiettivi definiti dovrebbe essere preparato ed eseguito annualmente.

I suggerimenti di ENISA evidenziano con chiarezza la fondamentale importanza della formazione dei dipendenti quale misura di sicurezza organizzativa ritenuta necessaria ai sensi del GDPR al fine di assicurare la sicurezza del trattamento dei dati.