Formazione dei dipendenti sul GDPR: è obbligatoria?
La risposta è: sì, la formazione in materia di privacy per i dipendenti della tua azienda è obbligatoria.
L’articolo n°29 del Regolamento Generale sulla Protezione dei Dati (regolamento UE n. 2016/679 adottato dalla Commissione Europea per tutelare i dati personali dei cittadini) è molto chiaro:
“Il responsabile del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del titolare del trattamento, che abbia accesso ai dati personali non può trattare tali dati se non è istruito in tal senso dal titolare […]”.
Cosa significa? Tutte le persone che durante la giornata lavorativa entrano in contatto con i dati personali dei clienti, dei fornitori, dei partner devono ricevere una formazione specifica per conoscere – in linea generale -, quali sono gli adempimenti imposti dal GDPR e perché è importante eseguirli.
Il GDPR prevede la formazione obbligatoria per chi tratta dati nell’interesse del Titolare del trattamento (azienda o web agency) e per tutti i nuovi dipendenti che assumi durante l’anno.
La formazione obbligatoria dei dipendenti sul GDPR deve avere quattro caratteristiche:
- Il rinnovo annuale
- Una durata di almeno due ore
- La verifica delle competenze acquisite dai dipendenti tramite questionari (test di verifica)
- La certificazione finale
Cosa succede se non organizzi la formazione? Sei sanzionabile dal Garante. Le multe sono salate, te lo assicuriamo.
Se non hai previsto la formazione dei dipendenti in materia di GDPR, chiamaci subito e mettiti in regola.
Vediamo insieme quali sono i vantaggi offerti dal nostro studio per la formazione dei dipendenti, perché bisogna farla e quali materie trattiamo durante il corso.
Perché fare la formazione dei dipendenti con Legal for Digital?
La formazione sul GDPR non è un corso strategico e accattivante che suscita interesse nel pubblico: se la proponessimo dicendoti che si tratta di un momento imperdibile per tutto il tuo team, saremmo falsi.
Però.
Negli ultimi anni abbiamo organizzato e tenuto diversi corsi di formazione sul GDPR per i dipendenti di grandi aziende, piccole e medie imprese, agenzie di marketing: abbiamo avuto l’opportunità di raccogliere spunti e riflessioni da parte dei partecipanti che ci hanno permesso di dare un taglio differente al NOSTRO corso di formazione.
Ce l’abbiamo messa tutta per rendere interessante una materia che di interessante non ha nulla e trarre vantaggio da quelle due ore obbligatorie durante le quali i tuoi dipendenti sentono parlare di normativa sulla privacy e legislazione.
Il nostro corso è differente per tre motivi.
- La qualità del docente: il corso è tenuto da Brunella Martino, Avvocato e Founder Partner di Legal for Digital. Brunella si occupa di contrattualistica per il digitale, NFT, vendita online e gestione dei team di lavoro. La sua preparazione sul tema GDPR è approfondita e risolve ogni dubbio in merito all’articolo n°29 della normativa.
- La sessione Q&A: al termine della formazione, Brunella lascia sempre uno spazio alle domande dei dipendenti per risolvere eventuali dubbi ma anche per soddisfare qualche curiosità.
- La formazione on-demand: alcune aziende non possono permettersi di bloccare tutti i dipendenti per due ore, soprattutto quando ci sono cicli produttivi da mantenere in attività. In questi casi proponiamo una formazione in sessioni on-demand a piccoli gruppi di persone in momenti differenti.
Al termine della formazione e dopo il superamento del test finale (perché Brunella fa fare anche i compiti in classe) rilasciamo la Certificazione Ufficiale, quel documento che serve al Garante della Privacy per attestare l’attività di formazione.
Siamo uno studio legale professionale ma per nulla noioso: un corso insieme a noi è sempre un’opportunità di crescita. Se ti abbiamo convinto compila il form e contattaci: rispondiamo entro poche ore.
Chi deve fare il corso della privacy?
Al corso di formazione obbligatoria sul GDPR devono partecipare tutti i dipendenti che gestiscono i dati personali: sono soggetti alla formazione obbligatoria coloro che il Codice Privacy definisce con il termine “incaricati del trattamento dati”.
Per spiegarti meglio ti proponiamo alcuni esempi:
- I dipendenti del team di marketing che gestiscono gli account Meta dei clienti
- I dipendenti che gestiscono il CRM aziendale
- I dipendenti che progettano le campagne di e-mail marketing
- I dipendenti dell’ufficio contabilità che elaborano le buste paga
- I dipendenti dell’ufficio amministrativo che trattano con i fornitori
- Gli autisti della tua azienda che effettuano le consegne
La formazione obbligatoria dei dipendenti è una responsabilità a carico dei Titolare del Trattamento Dati, mentre è il Responsabile della Protezione dei Dati che ha l’obbligo di controllare l’efficacia della formazione nel tempo.
Sono davvero poche le persone esenti dalla formazione obbligatoria. Se vuoi sapere quali dipendenti della tua impresa devono seguire il corso sul GDPR, puoi richiedere una consulenza al nostro studio: ti aiutiamo a risolvere ogni dubbio.
Perché bisogna fare la formazione dipendenti sul GDPR?
La formazione dei dipendenti è obbligatoria per tutte le aziende: si tratta di un corso di formazione sui principi del GDPR e segue il programma previsto dalla normativa.
Senza questo adempimento sei vulnerabile di fronte alla legge.
I motivi principali per cui ti suggeriamo di fare la formazione dei dipendenti sul GDPR sono tre.
- Senza la formazione sei sanzionabile dal Garante. Il mancato rispetto dell’obbligo di formazione stabilito dal GDPR comporta una sanzione pecuniaria a carico del Titolare il cui valore può ammontare sino a 10 milioni di euro o fino al 2% del fatturato totale annuo (o dell’anno precedente se superiore).
- Senza la formazione sei sanzionabile ogni anno. La legge è retroattiva: se hai pianificato il corso per l’anno 2023 ma non lo hai fatto nel 2022, a seguito di un controllo il Garante emette la multa sul 2022.
- Senza formazione il GDPR non è completo: la formazione non è one-shot ma resta comunque una parte integrante dell’adeguamento al GDPR.
Tutela la tua azienda da sanzioni salate e organizza la formazione per i tuoi dipendenti: richiede solo due ore del loro tempo.
“Abbiamo fatto con loro l’adeguamento privacy aziendale e del sito web.
La professionalità dimostrata è stata enorme. Come agenzia di web marketing ci è capitato spesso di avere a che fare con legali informatici, ma oggettivamente ad ora possiamo dire che i professionisti di Legal for Digital sono quelli con cui ci siamo trovati meglio: sanno spiegare molto bene i motivi per cui bisogna agire in una determinata maniera, rendendo dunque più masticabile il legalese, e allo stesso tempo conoscono gli strumenti del lavoro quotidiano di un’agenzia come la nostra.
Questo è un grande vantaggio per strutturare bene le policy aziendali.
Inoltre sono stati sempre molto disponibili, gentili e precisi.
Ci sentiamo di poter affermare di aver trovato il fornitore di riferimento per quest’area.”
Youston Srl
Web agency
Quali argomenti trattiamo durante la formazione obbligatoria GDPR
Il GDPR è stato scritto con l’obiettivo di rendere fluida e uniforme la regolamentazione in materia di protezione dei dati personali all’interno dell’Unione europea, sviluppare un Mercato Unico Digitale europeo, rispondere alle sfide derivanti dalle nuove tecnologie digitali.
Il corso di formazione per i dipendenti è suddiviso in sei parti:
- inquadramento normativo sulla privacy,
- i principi fondamentali della privacy,
- i diritti dell’interessato,
- il sistema organizzativo della privacy,
- gli adempimenti previsti dalla privacy,
- il sistema sanzionatorio della privacy.
Uno degli aspetti su cui focalizziamo l’attenzione è la differenza tra titolare e responsabile del dato, definizione che spesso genera confusione.
Il Titolare del Trattamento è la persona fisica o giuridica, l’autorità pubblica, il servizio o qualsiasi altro organismo che – singolarmente o insieme ad altri -, determina le finalità e i mezzi del trattamento dei dati personali.
Il Responsabile del Trattamento è la persona fisica o giuridica, l’autorità pubblica, il servizio o qualsiasi altro organismo che tratta dati personali per conto del titolare del trattamento.
Quali sono i principi su cui si fonda il GDPR?
La liceità, la correttezza, la trasparenza, la limitazione delle finalità, la minimizzazione dei dati, l’esattezza, la limitazione della conservazione, l’integrità e la riservatezza.
Durante il corso avrai modo di approfondirli tutti.
Quali sono i principi su cui si fonda il GDPR?
La liceità, la correttezza, la trasparenza, la limitazione delle finalità, la minimizzazione dei dati, l’esattezza, la limitazione della conservazione, l’integrità e la riservatezza.
Durante il corso avrai modo di approfondirli tutti.
Sei un Legal Addicted e ti piace approfondire le materie giuridiche e gli aspetti legali del business digitale? Iscriviti all’Academy di Legal for Digital.
GDPR e-commerce: la tua strategia di crescita
Se raccogli correttamente i dati, se lavori bene a livello di finalità di marketing, se l’iscrizione alla newsletter è chiara, hai già in mano dati che puoi utilizzare per generare nuove vendite.
È una questione di strategia di marketing. Poter trattare i dati degli utenti del tuo sito significa:
- Implementare con la massima libertà attività di up-selling e cross-selling.
- Effettuare il soft spam per la vendita di prodotti simili o uguali al primo acquisto del cliente.
- Pianificare attività di remarketing e retargeting grazie alla corretta raccolta sui banner dei cookie.
Con il GDPR il tuo business è sicuro: il fatturato del tuo e-commerce è davvero tuo.
Puoi comunicare ai clienti del tuo negozio online che stai trattando i loro dati modo etico e responsabile attraverso banner, pop-up, messaggi, ma anche contenuti sui social media.
Hai l’opportunità di condividere con gli utenti la trasparenza con cui gestisci il tuo e-commerce.
Noi di Legal for Digital ti aiutiamo a far crescere il tuo brand grazie alla tutela legale.
Vuoi sapere subito qual è lo stato di salute del GDPR del tuo e-commerce? Richiedi il Check-Up Privacy al nostro studio.
Legal Tips: i nostri suggerimenti facili
- Ogni anno hai bisogno di organizzare la formazione per i dipendenti in materia di GDPR.
- Se non rinnovi la formazione anche solo per un anno, secondo il GDPR sei già sanzionabile.
- I clienti con cui lavori possono richiedere un audit per verificare se i tuoi dipendenti abbiano fatto la formazione: è loro diritto annullare il contratto che tiene in vita la vostra collaborazione in mancanza dell’adempimento alla formazione dei dipendenti.
Case Study
Formazione dei dipendenti GDPR: migliaia di euro spesi per un adeguamento incompleto
SITUAZIONE
PMI italiana si affida a una società di consulenza specializzata in adeguamenti privacy per il GDPR.
La società esegue tutto a modo: redige la documentazione, verifica i flussi aziendali, analizza le procedure interne. Insomma: tutto perfetto.
La società assiste la PMI per un anno, al termine del quale propone il rinnovo della collaborazione.
La PMI però valuta con attenzione la proposta, che prevede uno sconto del 20% rispetto alla quotazione pagata per il primo anno ma che, di fatto, sarebbe relativa al mantenimento del servizio o al massimo prevederebbe qualche aggiornamento.
Visto il costo elevato, la PMI preferisce non continuare la collaborazione e si rivolge a noi per avere un preventivo.
SOLUZIONE
Quando controlliamo i documenti ci rendiamo conto che manca la formazione ai dipendenti: la PMI ha speso qualche migliaio di euro per ottenere una documentazione perfetta ma che senza la formazione risulta incompleta e quindi sanzionabile per l’anno 2020. Non è possibile sanare la formazione mancata degli anni precedenti perché è obbligatorio farla ogni anno.
“GDPR è tante cose” viene spontaneo dire: affidati a chi queste cose le conosce davvero tutte.
Come ottenere la formazione obbligatoria per i dipendenti sul GDPR
Molti imprenditori pensano che le tempistiche e i processi per pianificare la formazione sul GDPR siano lunghi e complessi.
Niente affatto: ora ti spieghiamo qual è il metodo di lavoro di Legal for Digital e i passaggi che proponiamo per organizzare il corso.
- Hai scelto di contattarci via e-mail o con il form: riceviamo la tua richiesta e, nel giro di poche ore, rispondiamo e fissiamo una call conoscitiva.
- Durante l’ incontro ti poniamo diverse domande per capire alcune caratteristiche del tuo business, quanti dipendenti ha l’azienda, di cosa si occupano.
- Entro una giornata lavorativa, ricevi il preventivo esploso con tutti i dettagli dei servizi che forniamo e il prezzo in chiaro.
Se la proposta incontra le tue esigenze, sottoscrivi il nostro contratto, procedi al pagamento e pianifichiamo la formazione obbligatoria sul GDPR.
Come funziona il servizio di formazione obbligatoria dipendenti di Legal for Digital
Qualche informazione pratica sulla formazione.
- Il servizio può essere abbinato all’adeguamento privacy o essere acquistato separatamente.
- La formazione avviene live da remoto.
- I gruppi sono di massimo 15 persone.
- Forniamo gli strumenti teorici e pratici per trattare i dati a norma di GDPR.
- Redigiamo i questionari in base alle specifiche aziendali.
- Correggiamo i questionari dei dipendenti.
- Rilasciamo le certificazioni conformi alla normativa.
- La certificazione rilasciata ha valenza di 12 mesi
- Se qualche dipendente non supera i requisiti richiesti facciamo ripetere la formazione gratis.
L’organizzazione da remoto consente all’azienda di non affrontare i costi degli spostamenti. I dipendenti si assentano dalle mansioni aziendali per un massimo di 3 ore.
Alla formazione aggiungiamo una sessione dedicata ai Q&A, per dare una preparazione che sia utile nella pratica della gestione quotidiana dei dati.
Adeguamento al GDPR: qualche informazione pratica
Il nostro processo di adeguamento al GDPR prevede da quattro ai sei audit di consulenza via Zoom e una ulteriore formazione pratica per poter gestire in autonomia il GDPR del proprio business dopo il percorso fatto insieme.
- Analisi dei soggetti coinvolti nel trattamento dati (ruoli, compiti e responsabilità).
- Analisi e valutazione di tutte le finalità e trattamenti dati svolti.
- Valutazione documentale delle misure di sicurezza adottate.
- Valutazione dei locali aziendali.
- Valutazione analitica dei dati trattati per ciascun trattamento dati svolto.
- Definizione dell’organigramma della privacy.
- Redazione di tutti i contratti di nomina a responsabili del trattamento dei dati.
- Redazione delle nomine ad autorizzato e relative istruzioni sul trattamento dei dati.
- Redazione del registro dei trattamenti (è escluso l’adeguamento legale del sito web).
- Redazione del registro del responsabile del trattamento.
- Registro delle richieste di accesso degli interessati.
- Registro di gestione e documentazione dei data breach (violazione dei dati).
- Registro di controllo e revisione.
- Illustrazione della documentazione prodotta.
- Risposta ai quesiti del cliente in tema privacy aziendale.
- Redazione e consegna del MOP (Modello organizzativo Privacy).
- Attività di analisi del rischio per ogni specifica istanza di rischio e come potrebbe influenzare i progetti e gli obiettivi dell’azienda
- Analisi ORIZZONTALE del rischio, con riferimento a ciascuno dei quattro settori in cui il rischio è suscettibile di verificarsi (Comportamento Operatori, Dispositivi Hardware, Dispositivi Software, Contesto)
- Analisi VERTICALE del rischio, ossia per processo, ricorrendo ai criteri dettati dalle linee guida ENISA.
A conclusione dell’attività è prevista un’ulteriore consulenza di presentazione di tutta la documentazione redatta in modo da fornire le informazioni necessarie per il suo utilizzo nel tempo e i relativi aggiornamenti, così che il cliente non sia obbligato a farsi seguire dal nostro studio per le attività privacy quotidiane.
Possiamo anche procedere all’adeguamento privacy del sito web o e-commerce, alla formazione annuale obbligatoria dei dipendenti online, in azienda oppure on demand sulla nostra piattaforma formativa e anche al servizio di DPO che tuttavia consigliamo solo se obbligatorio per legge nel tuo caso, perché l’adeguamento al GDPR deve essere un mezzo di tutela dell’azienda e non un capitolo di spesa inutile.