La consapevolezza delle persone è uno degli elementi fondamentali per ridurre i rischi derivanti dal trattamento dei dati personali. Si può acquisire in modi traumatici (violazione che ha interessato direttamente i propri dati) oppure in forme più graduali che partono dall’acquisizione di conoscenze ed arrivano alla sensibilizzazione continua.

I corsi di formazione sono la forma più comune di acquisizione delle conoscenze e l’ambito del trattamento dei dati personali non fa eccezione.

Tuttavia, poiché il trattamento dei dati personali è spesso basato su infrastrutture informatiche, occorre che sia organizzata una costante attività di sensibilizzazione connessa ai rischi che l’evoluzione della tecnologia può introdurre.

Il lavoratore, all’interno di un’organizzazione, deve essere continuamente orientato a comportarsi più consapevolmente. È noto, infatti, che molti attacchi sono dovuti alla scarsa attenzione con cui vengono utilizzati i programmi informatici messi a disposizione dall’organizzazione (per esempio, condivisione con altri della password di accesso ai sistemi informatici aziendali).

Oltre alla consapevolezza è necessario, anche secondo un recente orientamento del gruppo dei Garanti, che il titolare orienti i processi aziendali alla prevenzione più che alla rilevazione. Per esempio, configurando il servizio di posta elettronica in modo da prevenire l’introduzione in azienda di possibili email di phishing piuttosto che rilevare il traffico di tutti i dipendenti per capire che potrebbero esserci stati comportamenti poco attenti.