Sul piano dei doveri concreti, l\u2019articolo 9 stabilisce che chi tratta dati personali deve adottare le misure tecniche e organizzative necessarie a garantire la sicurezza e la riservatezza<\/strong> dei dati, in modo da evitarne l\u2019alterazione, la perdita, la consultazione o il trattamento non autorizzati. La formula conta, e dal punto di vista del governo si legge con attenzione: la legge non si \u00e8 accontentata di misure tecniche. Ha richiesto, sullo stesso piano, misure organizzative<\/strong>. Dentro quel secondo blocco vive tutto ci\u00f2 che apportano una politica interna, un programma di awareness e una formazione efficace. Nella pratica di qualsiasi framework di gestione, quello \u00e8 un controllo, e i controlli si gestiscono, si misurano e si evidenziano.<\/p>\n L\u2019articolo 10 aggiunge il dovere di riservatezza<\/strong>: i responsabili e chiunque intervenga in qualsiasi fase del trattamento sono tenuti al segreto professionale, obbligo che sussiste anche dopo la fine del rapporto<\/strong> con il titolare dell\u2019archivio. Quella frase ha una conseguenza operativa che molti programmi trascurano: il dovere non si spegne il giorno in cui il collaboratore se ne va. Se la formazione non ha coperto quel punto e non \u00e8 rimasta registrata, l\u2019organizzazione resta senza modo di provare di averlo comunicato.<\/p>\n La normativa attuativa dell\u2019autorit\u00e0 di applicazione viene precisando cosa si intende per \u201cmisure tecniche e organizzative\u201d dell\u2019articolo 9: la designazione di un responsabile interno, la documentazione delle politiche, i controlli di accesso e la formazione periodica del personale. L\u2019AAIP non inventa quei requisiti. Li deriva dallo stesso articolo 9 e li rende esigibili in sede amministrativa. Per chi gestisce la conformit\u00e0, sono gli stessi controlli che qualsiasi framework di sicurezza delle informazioni riconosce come basilari.<\/p>\n Conviene esplicitare un punto prima di proseguire, perch\u00e9 \u00e8 l\u00ec che molti programmi si disfano: rispettare la Legge 25.326 \u00e8 una cosa, poterlo dimostrare<\/strong> \u00e8 un\u2019altra. La differenza sembra sottile. In un audit o in un\u2019ispezione \u00e8 quella che decide se tutto si chiude con un verbale favorevole o con un fascicolo aperto.<\/p>\n La legge non dettaglia come si prova la conformit\u00e0, perch\u00e9 ci\u00f2 appartiene all\u2019attivit\u00e0 probatoria generale dell\u2019organizzazione. Ma il regime sanzionatorio dell\u2019articolo 31 (ammonizioni, multe, sospensioni, chiusure) opera, per definizione, su fatti che vanno dimostrati. Senza evidenza, la conformit\u00e0 \u00e8 un\u2019affermazione. Con evidenza, \u00e8 un fatto che si pu\u00f2 sostenere davanti all\u2019organo di controllo. Chi viene dal mondo della gestione del rischio conosce bene quella distanza: un controllo che esiste ma non lascia traccia \u00e8, a fini pratici, un controllo che non si pu\u00f2 auditare.<\/p>\n Per un programma di awareness questo significa che ogni azione formativa, ogni politica accettata e ogni promemoria inviato devono lasciare una traccia verificabile. Non basta che il collaboratore abbia ricevuto il corso. Serve sapere chi, quando, quale versione del contenuto e con quali credenziali<\/strong> lo ha ricevuto. La domanda operativa, allora, smette di essere \u201cabbiamo formato il personale?\u201d e diventa \u201ccosa possiamo esportare il giorno in cui l\u2019autorit\u00e0 ce lo chiede?\u201d.<\/p>\n Le ispezioni e gli audit che finiscono bene sono quelli costruiti su un insieme ridotto ma solido di registri. Questi sono i sei che, nella mia esperienza di gestione della conformit\u00e0, ogni programma di Cybersecurity awareness dovrebbe avere a disposizione per un\u2019autorit\u00e0 di controllo:<\/p>\n Accettazione verificabile della politica di trattamento dei dati personali.<\/strong> Non la firma generica all\u2019ingresso in azienda, ma l\u2019accettazione espressa, datata e legata all\u2019utente, della politica specifica in vigore al momento della lettura. Se la politica \u00e8 stata aggiornata, il registro deve poter identificare contro quale versione \u00e8 stato prestato il consenso.<\/p>\n<\/li>\n Attestazione di formazione con data, contenuto e autenticazione.<\/strong> Un\u2019attestazione generica (\u201cha svolto il corso di protezione dei dati\u201d) \u00e8 debole. L\u2019attestazione solida indica la versione del modulo, la data di inizio e di fine, la durata effettiva e l\u2019identificazione del collaboratore tramite credenziali aziendali, non per autodichiarazione.<\/p>\n<\/li>\n Registro di superamento, non solo di presenza.<\/strong> Ai fini dell\u2019articolo 9 conta che il contenuto sia stato compreso, non che il collaboratore abbia aperto il corso. L\u2019evidenza pertinente include il risultato di una valutazione (questionario, simulazione o equivalente) con una soglia di superamento documentata.<\/p>\n<\/li>\n Tracciabilit\u00e0 degli aggiornamenti della politica e del programma.<\/strong> L\u2019AAIP pu\u00f2 chiedere quando \u00e8 stato inserito nel programma un determinato dovere (per esempio la cifratura delle basi o la segnalazione interna degli incidenti) e da quale data ciascun collaboratore era tenuto a conoscerlo. Senza uno storico versionato, quella domanda resta senza risposta.<\/p>\n<\/li>\n Evidenza della comunicazione degli obblighi successivi alla fine del rapporto.<\/strong> L\u2019articolo 10 stabilisce che il dovere di riservatezza sussiste dopo la fine del rapporto. La buona pratica \u00e8 comunicare quel dovere espressamente, registrarlo e conservare l\u2019attestazione per il termine di prescrizione applicabile.<\/p>\n<\/li>\n Documentazione del responsabile interno che coordina il programma.<\/strong> Atto di designazione, ambito della funzione, criteri in base ai quali approva la politica e firma sui deliverable. L\u2019AAIP si rivolge di solito a una persona concreta, e la domanda di chi risponde del programma non si pu\u00f2 risolvere sul momento.<\/p>\n<\/li>\n<\/ol>\n L\u2019elenco non \u00e8 tassativo, e il peso relativo di ciascun punto varia a seconda del settore dell\u2019organizzazione (finanziario, sanit\u00e0, retail, pubblico), delle dimensioni e della sensibilit\u00e0 dei dati trattati. Ma nessun programma serio pu\u00f2 prescindere da tutti e sei insieme.<\/p>\n Immaginiamo uno scenario frequente. Un\u2019organizzazione subisce un incidente: viene divulgata una base con dati personali di clienti. La denuncia arriva all\u2019AAIP. L\u2019autorit\u00e0 chiede, tra le altre cose, l\u2019evidenza della formazione ricevuta dal personale con accesso a quella base. L\u2019organizzazione fornisce un elenco: \u201ctutti i collaboratori hanno svolto il corso di protezione dei dati\u201d. L\u2019AAIP chiede il dettaglio. Il sistema registra solo click di apertura.<\/p>\n Quello scenario illustra una carenza ricorrente. Ci\u00f2 che prova un click di apertura \u00e8 che il collaboratore, a un certo punto, ha avuto accesso alla risorsa. Non prova che l\u2019abbia letta, n\u00e9 che l\u2019abbia compresa, n\u00e9 che la versione a cui ha avuto accesso contenesse il punto in questione. Davanti a un\u2019autorit\u00e0 di controllo, un\u2019evidenza cos\u00ec esile raramente basta, e lascia l\u2019organizzazione nella posizione pi\u00f9 scomoda di qualsiasi processo di conformit\u00e0: avere il controllo ma non poterlo mostrare.<\/p>\n A questo si aggiunge un elemento da gestire fin dalla progettazione: l\u2019integrit\u00e0 dell\u2019evidenza<\/strong> del registro di formazione. Ci\u00f2 che \u00e8 in gioco \u00e8 poter dimostrare che il registro non \u00e8 stato modificato dopo la generazione, che la sua data \u00e8 autentica e che l\u2019attribuzione al collaboratore \u00e8 integra. Un foglio di calcolo modificabile a mano non soddisfa quello standard. Un registro generato da un sistema con timbro temporale, identificazione dell\u2019utente e log di accesso, s\u00ec. Quella differenza, che sembra tecnica, \u00e8 in realt\u00e0 di governo: definisce quanto vale la vostra evidenza il giorno in cui qualcuno la mette in discussione.<\/p>\n Nel regime dell\u2019articolo 31, l\u2019ammonizione \u00e8 il gradino pi\u00f9 lieve e le multe e le chiusure i pi\u00f9 severi. L\u2019intensit\u00e0 della sanzione risponde alla gravit\u00e0 della condotta, ma anche al grado di diligenza che l\u2019organizzazione riesce a provare. Avere un\u2019evidenza solida \u00e8, in termini di gestione del rischio, il principale fattore di mitigazione davanti all\u2019organo di controllo.<\/p>\n La Legge 25.326 \u00e8 stata approvata nel 2000 e, da allora, ha attraversato riforme regolamentari successive. Negli ultimi anni, i progetti di riforma entrati in Parlamento puntano ad avvicinare il regime argentino agli standard contemporanei, in particolare al Regolamento Generale sulla Protezione dei Dati europeo (GDPR). Finch\u00e9 l\u2019approvazione definitiva non si concretizza, la cosa prudente \u00e8 leggere il dibattito come una tabella di marcia di ci\u00f2 che l\u2019AAIP inizier\u00e0 a esigere quando il testo entrer\u00e0 in vigore.<\/p>\n Tra gli assi che quel dibattito lascia intravedere, quattro toccano direttamente un programma di awareness:<\/p>\n La mia raccomandazione operativa \u00e8 semplice: iniziare a registrare oggi come se la riforma fosse gi\u00e0 in vigore. Le misure che la 25.326 esige sotto la formula ampia dell\u2019articolo 9 sono, in gran parte, quelle che la riforma esiger\u00e0 in modo esplicito. Anticiparsi non \u00e8 sforzo perso: \u00e8 il margine di tempo che l\u2019organizzazione guadagna quando il testo viene pubblicato.<\/p>\n Arrivati a questo punto, la domanda diventa operativa: come organizzare il programma perch\u00e9 l\u2019evidenza esista, sia integra e sia disponibile in un tempo ragionevole? Il criterio che applico si riassume in un\u2019idea: l\u2019evidenza non si costruisce alla fine, si costruisce dalla progettazione.<\/p>\n Questo si traduce in tre mosse. Primo, integrare la registrazione nel flusso normale del programma: ogni lettura di politica, ogni completamento di modulo, ogni superamento di valutazione deve generare la propria attestazione automaticamente, senza azione aggiuntiva del collaboratore n\u00e9 del responsabile. Secondo, garantire l\u2019integrit\u00e0 di quelle attestazioni: identificazione robusta del collaboratore, data verificabile e legame con la versione del contenuto in vigore al momento dell\u2019azione. Terzo, conservare le attestazioni per il termine richiesto dalla prescrizione applicabile e poterle esportare in formato auditabile.<\/p>\n Piattaforme come SMARTFENSE<\/a> sono progettate, per impostazione predefinita, con quella logica: ogni azione del collaboratore sul contenuto (lettura, accettazione, completamento, superamento) resta registrata con data, autenticazione dell\u2019utente, versione della risorsa e tracciabilit\u00e0 delle modifiche. Per un responsabile della conformit\u00e0 in Argentina, questo smette di essere una caratteristica di prodotto e diventa la risposta operativa all\u2019articolo 9 della Legge 25.326.<\/p>\n Vale la pena ricordare che il primo approfondimento di questo blog sulla Legge 25.326<\/a> ha percorso l\u2019angolo della formazione come requisito normativo, complementare a quello che sviluppo qui. Chi cerca una visione pi\u00f9 generale sull\u2019articolazione tra quadro legale e programma di Cybersecurity awareness pu\u00f2 consultare anche la riflessione sulla conformit\u00e0 normativa come impegno sostenuto<\/a> e l\u2019analisi sui profili psicologici e la loro ammissibilit\u00e0 legale<\/a>. La sezione risorse di conformit\u00e0<\/a> raccoglie materiali aggiuntivi per responsabili di sicurezza e compliance officer.<\/p>\n La Legge 25.326 \u00e8 con noi da un quarto di secolo. In tutto questo tempo, la sua esigenza centrale, le misure tecniche e organizzative dell\u2019articolo 9, \u00e8 rimasta quasi invariata. Ci\u00f2 che \u00e8 cambiato, e parecchio, \u00e8 il livello di evidenza che l\u2019autorit\u00e0 si aspetta di vedere per considerare soddisfatto quel dovere. Un programma di awareness che nel 2005 sopravviveva con un foglio presenze, oggi resta corto.<\/p>\n La domanda che vale la pena portarsi a casa non \u00e8 se l\u2019organizzazione rispetta la 25.326. \u00c8 se potrebbe dimostrarlo domani davanti a un\u2019ispezione dell\u2019AAIP. Se la risposta richiede uno sforzo di ricostruzione, conviene anticiparsi: la riforma in discussione non allenter\u00e0 lo standard di evidenza, lo irrigidir\u00e0. E per chi gestisce il rischio, tutto questo non finisce con la sanzione evitata. Un programma che prova ci\u00f2 che fa sostiene la fiducia di clienti, autorit\u00e0 e direzione, e quella fiducia \u00e8, in fondo, una condizione della continuit\u00e0 del business.<\/p>\n","protected":false},"excerpt":{"rendered":" La Legge 25.326 argentina impone misure tecniche e organizzative. Cosa deve registrare il programma di awareness per resistere a un’ispezione dell’AAIP.<\/p>\n","protected":false},"author":34,"featured_media":41427,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[3,339],"tags":[592,745,2219,2214,1509],"class_list":["post-41432","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-blog","tag-compliance-it","tag-dati-personali","tag-habeas-data","tag-ley-25-326","tag-proteccion-de-datos-it"],"acf":[],"yoast_head":" \nLa distanza tra rispettare la legge e poterlo dimostrare<\/h2>\n
![\"Dettaglio](\"https:\/\/smartfense.com\/file\/2026\/05\/apoyo-01-1779302214.jpg\")
<\/p>\nCosa deve registrare il vostro programma per resistere a un\u2019ispezione dell\u2019AAIP?<\/h2>\n
\n
E se il vostro programma dimostra solo che il collaboratore ha aperto il corso?<\/h2>\n
Cosa cambia con la riforma pendente della 25.326?<\/h2>\n
\n
Come strutturare l\u2019evidenza che la legge vi chieder\u00e0<\/h2>\n
A modo di conclusione<\/h2>\n