Data protection

Il Modello Organizzativo Privacy quale strumento del titolare del trattamento per dimostrare il principio di accountability alla normativa Privacy.

L’accountability non coincide con la Responsabilità.

Premesso che il Considerando 74 del GDPR afferma che è opportuno stabilire la responsabilità generale del titolare del trattamento per qualsiasi trattamento di dati personali che quest’ultimo abbia effettuato direttamente o che altri abbiano effettuato per suo conto. In particolare, il titolare del trattamento dovrebbe essere tenuto a mettere in atto misure adeguate ed efficaci ed essere in grado di dimostrare la conformità delle attività di trattamento con il presente regolamento, compresa l’efficacia delle misure. Tali misure dovrebbero tener conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché del rischio per i diritti e le libertà delle persone fisiche.

Da sottolineare l’espressione utilizzata dal legislatore comunitario “responsabilità generale” in capo al del titolare per tutti i trattamenti da lui eseguiti:

  • sia all’interno della sua organizzazione, attraverso il personale dipendente “autorizzato al trattamento”,
  • sia all’esterno del suo contesto organizzativo, da altre entità che trattano dati personali, per suo conto, rivestendo il ruolo di “responsabili del trattamento”.

Il titolare del trattamento (i.e., l’azienda o l’ente) è quindi chiamato a gestire la sua responsabilità generale, esercitando il pieno controllo di tutte le attività di elaborazione dei dati personali.

Egli è, quindi, chiamato dal Legislatore comunitario a “dare conto”, a “dare evidenza”, a “dovere rendere conto del proprio operato”.

A ben vedere il concetto di “responsabilità” con il quale è stato improvvidamente tradotto il termine “accountability”, nella versione del GDPR in italiano costituisce solo una parte dell’accountability, in quanto emerge solo dopo che il titolare del trattamento ha dato conto delle sue scelte e delle sue decisioni.

WP29: Parere n. 3/2010

Un chiarimento autorevole su tale aspetto, di non secondaria importanza, è stato fornito dal WP29, nel parere n. 3/2010, tuttora attuale e pregnante, a mente del quale, nel sommario si legge:

“questo parere avanza una proposta concreta per l’introduzione di un principio di responsabilità che richieda ai responsabili del trattamento di mettere in atto misure adeguate ed efficaci per garantire che i principi e gli obblighi stabiliti nella direttiva siano rispettati e per dimostrare tale osservanza, su richiesta, alle autorità di controllo. Ciò dovrebbe contribuire a passare “dalla teoria alla pratica” e ad aiutare le autorità di protezione dei dati nello svolgimento dei loro compiti di controllo e di verifica dell’applicazione.  Il parere contiene suggerimenti volti ad assicurare che il principio di responsabilità garantisca la certezza del diritto, lasciando spazio al tempo stesso ad una certa adattabilità (che consenta di determinare le misure concrete da applicare in funzione dei rischi connessi al trattamento e dei tipi di dati trattati). Si analizza quindi in che modo tale principio potrebbe ripercuotersi in altri settori, tra i quali i trasferimenti internazionali di dati, gli obblighi di notificazione, le sanzioni e, infine, anche lo sviluppo di programmi o sigilli di certificazione.”

Infatti, il Considerando 78 stabilisce che La tutela dei diritti e delle libertà delle persone fisiche relativamente al trattamento dei dati personali richiede l’adozione di misure tecniche e organizzative adeguate per garantire il rispetto delle disposizioni del presente regolamento. Al fine di poter dimostrare la conformità con il presente regolamento, il titolare del trattamento dovrebbe adottare politiche interne e attuare misure che soddisfino in particolare i principi della protezione dei dati fin dalla progettazione e della protezione dei dati di default. Tali misure potrebbero consistere, tra l’altro, nel ridurre al minimo il trattamento dei dati personali, pseudonimizzare i dati personali il più presto possibile, offrire trasparenza per quanto riguarda le funzioni e il trattamento di dati personali, consentire all’interessato di controllare il trattamento dei dati e consentire al titolare del trattamento di creare e migliorare caratteristiche di sicurezza. In fase di sviluppo, progettazione, selezione e utilizzo di applicazioni, servizi e prodotti basati sul trattamento di dati personali o che trattano dati personali per svolgere le loro funzioni, i produttori dei prodotti, dei servizi e delle applicazioni dovrebbero essere incoraggiati a tenere conto del diritto alla protezione dei dati allorché sviluppano e progettano tali prodotti, servizi e applicazioni e, tenuto debito conto dello stato dell’arte, a far sì che i titolari del trattamento e i responsabili del trattamento possano adempiere ai loro obblighi di protezione dei dati. I principi della protezione dei dati fin dalla progettazione e di default dovrebbero essere presi in considerazione anche nell’ambito degli appalti pubblici.

Il Modello Organizzativo Privacy

In sostanza, per gestire efficacemente la sua responsabilità generale, il titolare dovrebbe predisporre un sistema di gestione dei processi di elaborazione dei dati personali, adeguatamente documentato in un “Modello Organizzativo Privacy” (MOP).

Il Modello Organizzativo Privacy (MOP) è un documento che descrive le misure e le procedure adottate da un’organizzazione per tutelare i dati personali in conformità al Regolamento Generale sulla Protezione dei Dati (GDPR). 

Non è un obbligo legale, ma rappresenta uno strumento fortemente consigliato per tutte le organizzazioni che trattano dati personali, indipendentemente dalla loro dimensione o complessità. 

Il MOP presenta diversi vantaggi, in quanto consente all’organizzazione di: 

o    Adempiere agli obblighi del GDPR in modo efficace e dimostrabile. 

o    Ridurre il rischio di sanzioni in caso di violazioni. 

o    Migliorare la fiducia dei clienti, dei partner e degli altri stakeholder. 

o    Aumentare la consapevolezza all’interno dell’organizzazione sull’importanza della protezione dei dati. 

o    Promuovere una cultura di compliance all’interno dell’organizzazione. 

Il contenuto del MOP

Il contenuto del MOP tiene conto delle peculiarità che caratterizzano l’organizzazione del titolare, anche se mantiene un set minimo di informazioni: 

·         La definizione dei ruoli e delle responsabilità per la gestione della privacy. 

·         L’identificazione e la valutazione dei rischi per la Privacy. 

·         L’implementazione di misure tecniche e organizzative per proteggere i dati personali. 

·         Le procedure per la gestione delle richieste degli interessati (ad esempio, richieste di accesso, cancellazione o modifica dei dati). 

·         La formazione del personale sulla Privacy. 

L’adozione di un MOP rappresenta un passo importante per le organizzazioni che desiderano tutelare i dati personali e rafforzare la propria compliance al GDPR.

Il MOP viene di norma redatto dal Privacy Officer, valutato dal DPO (che può richiedere se del caso modifiche ed integrazioni) ed approvato dal Titolare del trattamento.

Il MOP è aggiornato in occasione di variazioni di contesto (interno o esterno all’organizzazione), di normative, e per l’introduzione di nuove misure, nonchè in seguito alla modifica o eliminazione di misure ritenute non più adeguate. È opportuno conservare la storicizzazione delle varie versioni del documento per comprenderne, nel tempo, l’evoluzione.

I destinatari/utilizzatori del documento sono:

– il DPO;

– il Titolare del trattamento, nel caso in cui l’organizzazione – che ha predisposto il MOP – rivesta il ruolo di Responsabile; in questo caso a tali soggetti potrebbe essere resa disponibile solo una parte dei contenuti;

– gli incaricati dell’attività di audit/ispezione;

– gli autorizzati al trattamento (anche in questo caso è da valutare un accesso parziale);

– altri eventuali soggetti in rappresentanza delle parti interessate.

Data la sua valenza, anche strategica, si ritiene che l’accesso al documento deve, in ogni caso, essere autorizzato dalla Direzione Strategica.

Contenuto del MOP

Tale documento dovrà contenere:

  1. il registro dei trattamenti;
  2. l’analisi dei rischi e la metodologia utilizzata per la valutazione dei rischi;
  3. l’elenco dei responsabili del trattamento e dei contitolari;
  4. le misure di mitigazione poste in essere per mitigare i rischi; quando tali misure hanno valenza di procedure queste sono riportate nel MOP o nei documenti ad esso correlati;
  5. la documentazione relativa allo stato di presa in carico di alcuni adempimenti, come ad esempio il Provvedimento sugli amministratori di sistema, il Regolamento sulla videosorveglianza – videoregistrazione, il Regolamento sull’esercizio dei diritti, la Procedura sugli accordi con i fornitori, ecc;
  6. i modelli di documenti (informativa, atto di designazione ad autorizzato, atto di designazione a Responsabile, accordo sul trattamento dei dati, ecc.);
  7. la gestione della Formazione.

Considerati i contenuti del documento, è opportuno che alcune sue parti abbiano accesso riservato, in particolare l’analisi dei rischi e le misure poste in essere.

Alla versione base del MOP si suggerisce di aggiungere ulteriori contenuti, aumentandone così il valore in termini di accountability; tra questi, i più significativi sono:

  • l’organigramma ed il mansionario per le risorse che rivestono specifiche responsabilità in materia di protezione dei dati (come ad esempio: il Privacy Officer, gli Amministratori di Sistema, i Soggetti Autorizzati al Trattamento con delega –SATD, ecc.);
  • lo scadenziario;
  • il piano di formazione per il personale – consuntivo anno 20xx-1 e preventivo anno 20xx
  • il piano di audit – sia in relazione al sistema di gestione che alla conformità legislativa – consuntivo anno 20xx-1 e preventivo anno 20xx;
  • lo stato di presa in carico delle criticità – a seguito di data breach, audit, reclami e segnalazioni – rilevate nel corso anno 20xx-1;
  • le motivazioni alla base delle scelte relative ai trattamenti effettuati;
  • indicatori afferenti alla protezione dei dati, a consuntivo anno 20xx-1, che permettono di comprendere, tramite dati oggettivi e riproducibili, l’efficacia e l’efficienza delle misure poste in atto per la mitigazione dei rischi.

La finalità di tali contenuti integrativi è quella di permettere al Titolare di motivare le scelte fatte, in particolare:

– investimenti sostenuti – ad esempio un intervento di formazione del personale in materia di cybersecurity;

– investimenti rimandati – ad esempio l’introduzione di un nuovo firewall o di un server oppure l’aggiornamento di un gestionale che è slittata nel tempo, a causa del costo da sostenere, una volta valutate le priorità dell’organizzazione; in questo caso assume particolare rilevanza motivare la causa all’origine della scelta.

About Author /

Dott. Prof.( a.c.) Davide De Luca - Compliance & Cybersecurity Advisor - LinkedIn

trattamento dei dati personali
Password

Lascia un commento

Your email address will not be published.

Potrebbe piacerti

AI PA
le Linee guida AGID per l’adozione dell’intelligenza artificiale nella pubblica amministrazione
1 Aprile 2025
AI
Analisi di un trattamento basato su tecniche di Intelligenza Artificiale.
27 Luglio 2024
direttivacer
La Direttiva (UE) 2022/2557 CER (Critical Entities Resilience), a proposito delle infrastrutture critiche all’interno della comunità Europea.
4 Dicembre 2024

Start typing and press Enter to search