A partir de la entrada en vigor de la nueva ley de protección de datos (GDPR) surge esta cuestión en las organizaciones.
Dicen que una cadena es tan fuerte como lo es su eslabón más débil. Si hablamos de protección de datos, no estamos en un escenario diferente. Ser capaces de transmitir los conocimientos necesarios de privacidad y concienciar de la importancia de la misma a todos los empleados de una compañía es uno de los grandes retos que se está abordando actualmente en el tejido empresarial español.
Es más, entre las funciones establecidas en el artículo 39 del propio GDPR para el Delegado de Protección de Datos, se encuentra la de informar a los empleados que realicen actividades de tratamiento de datos personales de las obligaciones a las que están sometidos.
Si repasamos las funciones que desempeñan las diferentes áreas y roles de las organizaciones, es difícil encontrar alguna que no realice el tratamiento de algún dato de carácter personal. Por ello, en la mayor parte de los casos, es muy recomendable formar en materia de protección de datos a prácticamente la totalidad de la plantilla (ajustando siempre el contenido y formato).
Más allá de los beneficios y la reducción del riesgo que supone tener a toda la plantilla formada o, al menos, con un grado de concienciación mínimo respecto al tratamiento de datos de carácter personal, también se produce el beneficio indirecto de poder transmitir a la AEPD, ante una posible inspección, que como compañía has realizado esfuerzos razonables en conseguir que todos aquellos empleados que tratan datos de carácter personal han sido formados adecuadamente.
En este sentido, desde mi perspectiva, todo empleado debe ser consciente de, al menos, unos fundamentos básicos de protección de datos para el desempeño de sus funciones:
Pues la respuesta no es fija y dependerá del número de empleados, de su dispersión geográfica y, sobre todo, de los diferentes canales de comunicación de los que dispongas para llegar a ellos (por ejemplo, si todos cuentan con un ordenador para el desarrollo de sus funciones o no).
Mi recomendación es realizar un análisis de estos factores para cada uno de los colectivos de los que dispongo en mi compañía y definir un plan de formación heterogéneo que se adapte a la realidad de cada empleado tanto en forma como en contenido. Una vez realizado el plan de formación en GDPR podrán surgir iniciativas de cursos presenciales, campañas de emailing, cursos e-learning, publicación de videos, elaboración de merchandising, etc. medidas, que permitirán mantener periódicamente el nivel de conocimiento y concienciación suficiente en relación con la protección de datos.
En Deloitte, dentro del abanico de cursos que ofertamos relacionados con el GDPR, hemos desarrollado un módulo de formación e-learning que, siendo personalizable para cada compañía, puede ser utilizado para formar y concienciar a todos los empleados en los fundamentos básicos comentados. El curso tiene un resultado visual sorprendente y una duración aproximada de dos horas incluyendo un pequeño test de conocimientos final (curso bonificable).