¿Es obligatorio formar a tus empleados en materia de protección de datos?
La normativa de protección de datos establece la obligación para las organizaciones que traten datos personales de implementar medidas de seguridad y de responsabilidad proactiva en el tratamiento de datos personales, entre las cuales se encuentran medidas de tipo organizativo. Una de las medidas recomendadas por las autoridades de control es la impartición de formación (formar en protección de datos) y concienciación a los empleados en materia de protección de datos y seguridad de la información.
Esto puede resultar especialmente importante para aminorar la responsabilidad de estas organizaciones en caso de sanción, especialmente en el caso de que se produzca una brecha de seguridad.
Un ejemplo de ello se puede observar en una Resolución de la AEPD que considera como medida de seguridad deficiente formar en protección de datos y concienciación a los empleados cuando no cumpla una serie de requisitos. En esta resolución:
Hechos Principales en el caso de formación en protección de datos:
· La entidad sancionada sufre una brecha de seguridad en sus sistemas.
· Esta presenta su plan formativo como medida para demostrar su diligencia en el cumplimiento de la normativa de protección de datos.
· La AEPD considera que la formación y concienciación impartida es deficiente, por las siguientes razones:
—La mayoría de sus cursos son genéricos, no atendiendo a las necesidades específicas de la organización.
—No se acredita que personas asistentes y ponentes acudieron a las formaciones, ni la fecha en que estas fueron impartidas.
—Las formaciones no eran obligatorias para todo el personal de la compañía.
¿Qué conclusiones se pueden sacar de los señalado por la AEPD?
Para que la formación pueda calificarse como una medida de seguridad consistente, ésta debe de cumplir unos requisitos mínimos:
· Los cursos deben de adaptarse a las necesidades de cada organización, atendiendo a la naturaleza, tipología y riesgos asociados a sus tratamientos.
· Se debe realizar un registro de las personas asistentes, ponentes, y fecha de impartición.
· Los cursos deben abarcar a todas las personas trabajadoras.
