Politica di formazione, sensibilizzazione e competenza in materia di privacy

La Politica di formazione, sensibilizzazione e competenza in materia di privacy definisce come un’organizzazione gestisce la formazione privacy all’interno del proprio Sistema di gestione delle informazioni sulla privacy. La sua finalità è assicurare che le persone il cui lavoro incide sul trattamento dei dati personali comprendano le proprie responsabilità, completino la formazione secondo una cadenza definita, mantengano una competenza pertinente al ruolo e producano evidenze verificabili in sede di audit relative a formazione, sensibilizzazione ed escalation. La politica si applica nei contesti di titolare del trattamento, contitolare del trattamento, responsabile del trattamento e sub-responsabile, ed è quindi pertinente sia per le organizzazioni che trattano direttamente dati personali sia per quelle che operano sulla base di istruzioni del cliente o tramite accordi di trattamento con terze parti. L’ambito di applicazione è intenzionalmente ampio e operativo. Si applica a personale, contraenti, personale temporaneo, terze parti pertinenti, responsabili del trattamento, sub-responsabili e altre parti interessate il cui lavoro può incidere sul trattamento dei dati personali, sui diritti degli interessati, sul rischio privacy, sulla sicurezza delle informazioni relativa ai dati personali, sulle istruzioni del responsabile del trattamento, sugli incidenti privacy, sulle informazioni documentate o sulle evidenze di conformità. La politica copre l’identificazione dei destinatari della formazione privacy, la formazione in fase di onboarding, la formazione e sensibilizzazione alla sicurezza annuale di aggiornamento, la formazione basata sui ruoli e attivata da eventi, le evidenze di completamento della formazione, l’escalation del mancato completamento, il riesame dell’efficacia della formazione e le evidenze di assurance della formazione per responsabili del trattamento, sub-responsabili e terze parti. Un elemento centrale della politica è il suo modello di evidenze. La politica stabilisce che non devono essere creati una matrice formativa, una dashboard, un registro delle competenze, un registro disciplinare o un registro della formazione dei clienti separati. Le assegnazioni formative, i completamenti, i promemoria, le evidenze di competenza e le evidenze di sensibilizzazione sono invece registrati in REG11. Eccezioni, escalation, non conformità, azioni correttive ed evidenze di riesame sono registrate in REG12. Le evidenze di assurance della formazione relative a responsabili del trattamento, sub-responsabili e terze parti sono registrate in REG08 ove pertinente, mentre gli input derivanti dalle lezioni apprese dagli incidenti possono essere collegati tramite REG10. Questo approccio mantiene tracciabile la formazione privacy senza duplicare registri o creare oneri amministrativi non necessari. La politica stabilisce cadenze e trigger formativi specifici. La formazione di base sulla sensibilizzazione privacy deve essere assegnata entro 10 giorni lavorativi dall’onboarding per il personale con accesso ai dati personali o con responsabilità PIMS, e il personale deve completare la formazione privacy in fase di onboarding prima che sia approvato l’accesso non supervisionato ai dati personali o entro 30 giorni dall’onboarding, a seconda di quale termine si verifichi per primo. La formazione annuale di aggiornamento sulla privacy deve essere assegnata almeno una volta ogni 12 mesi. La formazione di aggiornamento mirata è richiesta entro 30 giorni dopo una modifica sostanziale della politica privacy, una modifica sostanziale di un processo PIMS, una risultanza dell’audit, un fallimento formativo ricorrente o una lezione pertinente derivante da un incidente relativo ai dati personali. La formazione basata sui ruoli è inoltre richiesta prima che il personale assuma responsabilità relative a base giuridica, informative, consenso, diritti degli interessati, DPIA, conservazione, condivisione, trasferimenti internazionali, accessi privilegiati, amministrazione della sicurezza, logging, monitoraggio o supporto agli incidenti. La governance e il rispetto della politica sono integrati tramite responsabilità definite, monitoraggio ed escalation. Il responsabile privacy / responsabile del PIMS mantiene i contenuti formativi, le assegnazioni, le evidenze di completamento, le prese d’atto e le evidenze di efficacia. I proprietari del processo supportano il completamento per il personale sotto la loro responsabilità, i proprietari dei sistemi verificano la formazione prima di approvare accessi privilegiati o ad alto impatto a sistemi che trattano dati personali, e i responsabili dei fornitori / dell’approvvigionamento mantengono le evidenze formative o di assurance equivalente per fornitori, responsabili del trattamento, sub-responsabili e membri della forza lavoro esterna. La politica richiede un riesame trimestrale di completamento, formazione scaduta, assegnazioni basate sui ruoli ed eccezioni, con segnalazione delle lacune irrisolte nelle evidenze prima del riesame della direzione. I revisori dell’audit interno / conformità campionano le evidenze REG11 e REG12 secondo il piano di audit approvato, a supporto del miglioramento continuo e della responsabilizzazione pronta per la certificazione.