Modello Organizzativo Privacy: la progettazione e l’implementazione

Il nostro studio di Consulenza Privacy realizzerà per ogni azienda cliente un Modello Organizzativo Privacy coerente e coordinato nel rispetto dell’organizzazione specifica di ogni azienda.

Grazie ai dettami della ISO 31000 (i principi e le linee guida della gestione del rischio), il nostro studio di Consulenza Privacy creerà un Modello Organizzativo Privacy personalizzato che darà al Titolare del Trattamento la possibilità da un lato di dimostrare di aver fatto il massimo per garantire il rispetto della normativa e dall’altro doterà l’azienda di un documento valido a garantire maggior controllo delle proprie attività ed economie di scala.

Pertanto si può dunque affermare che un Modello Organizzativo Privacy può essere prima di tutto un’opportunità per migliorare il rendimento dei processi interno all’azienda.

Come struttureremo il Modello Organizzativo Privacy

Modello Organizzativo Privacy: individuare i dati trattati, i soggetti interessati e la base giuridica

La prima attività è rappresentata dalla redazione del Registro dei Trattamenti (come previsto dell’art. 30 del GDPR). La compilazione del registratto infatti consente di avere una evidenza dei soggetti interessati, delle tipologie di dati trattati e della loro provenienza.

Modello Organizzativo Privacy: la valutazione dei rischi

Una volta in possesso del registro dei trattamenti, si effettua la valutazione dei possibili rischi, tenendo conto delle misure di mitigazione già messe in atto e delle eventuali misure da implementare.

Modello Organizzativo Privacy: valutare se è necessario redigere una DPIA (Data Protection Impact Assessment)?

In base a quanto disposto dall’art. 35 del Regolamento, la DPIA si rende necessaria in presenza di rischi elevati che, nel caso del settore sanitario, vengono rappresentati dalla voce “dati riferiti a soggetti vulnerabili”.

Modello Organizzativo Privacy: valutare se è necessaria la nomina del Data Protection Officer (DPO)

La nomina del DPO/RPD (art. 37), è obbligatoria per gli enti pubblici e per quelle organizzazioni che trattano particolari categorie di dati (ad esempio i dati sanitari).
Può essere nominato sia un soggetto esterno che interno all’organizzazione, senza però trovarsi in situazioni che presentino conflitti di interesse.

Modello Organizzativo Privacy: verificare l’adeguatezza della informativa privacy

Agli artt. 13 e 14 del GDPR troviamo le indicazioni relative all’informativa dei trattamenti dei dati

Modello Organizzativo Privacy: predisporre il modello per il rilascio del consenso

Bisogna poter dimostrare che il consenso è avvenuto in maniera libera, inequivocabile ed informata. L’art. 7 del GDPR, in maniera specifica, ne disciplina le caratteristiche ed i casi in cui è reso obbligatorio.

Modello Organizzativo Privacy: Rispondere al diritto di trasparenza verso i soggetti interessati

Predisporre procedure atte a rispondere prontamente ai diritti dell’interessato.

Modello Organizzativo Privacy: Privacy by Design e Privacy by Default

Si tratta di due principi cardine. La privacy deve essere pensata sin dalla progettazione e come opzione predefinita.
E’ richiesta un’autovalutazione dell’adeguatezza dei sistemi utilizzati in relazione alla tutela dei dati.

Modello Organizzativo Privacy: predisporre un modello di contratto per ogni necessità

Oltre al titolare ci sono, o ci potrebbero essere, altre figure coinvolte nella gestione dei dati:

  1. Contitolari;
  2. Responsabili esterni od interni;
  3. Addetti al trattamento;

E’ necessario predisporre, per ciascun soggetto, un incarico scritto che ne chiarisca competenze e responsabilità.

Modello Organizzativo Privacy: verificare eventuali trasferimenti dei dati verso paesi terzi o verso organismi internazionali

Il trasferimento, verso paesi terzi, dei dati trattati richiede un’attenta valutazione dei rischi e la predisposizione di accorgimenti tecnici ed organizzativi idonei a mitigarne eventuali impatti.

Modello Organizzativo Privacy: individuare se i sistemi tecnologici potrebbero essere fonte di rischio

Quasi tutti gli strumenti tecnologici sono oggi collegati o collegabili in rete, questo rappresenta un potenziale pericolo che deve essere adeguatamente gestito.

Modello Organizzativo Privacy: formazione del personale preposto al trattamento dei dati personali

Il GDPR pone la formazione su un piano di assoluto rilievo (art. 39 del GDPR). E’ obbligo del titolare rendere edotti i responsabili e gli addetti delle procedure e dei rischi collegati al trattamento dei dati.
Predisporre delle schede su cui registrare la formazione sostenuta da ciascun soggetto.

Modello Organizzativo Privacy: predisporre procedure di comportamento

Creare procedure che regolino particolari attività:

  1. l’utilizzo di internet, della posta elettronica e dei dispositivi informatici (tablet, smartphone, pendrive);
  2. modalità di archiviazione dei dati e loro cifratura;
  3. regole e limitazioni per l’accesso ai dati (chi può fare cosa);

Modello Organizzativo Privacy: cosa fare in caso di violazione di dati personali (data breach) degli archivi

Gli adempimenti, in caso di violazione dei dati personali (data breach), sono disciplinati dagli artt. 33 e 34 del GDPR.

Predisporre la procedura, in caso di violazione, che contenga:

    modello di comunicazione da inviare all’Autorità garante entro le 72 ore dall’intrusione;

  1. modello di comunicazione da inviare agli interessati;
  2. registro delle violazioni, su cui riportare le azioni intraprese o le eventuali cause di esonero;
  3. procedure e controlli di “Business Continuity”.

Modello Organizzativo Privacy: periodicamente effettuare verifiche ed audit

Predisporre una procedura che preveda la verifica periodica, anche attraverso audit, della corretta attuazione di quelle che sono le disposizioni previste dal GDPR e la rispondenza, delle valutazioni contenute nel Modello Organizzativo Privacy, rispetto alle esigenze dell’organizzazione.
Il MOP va revisionato idealmente quando cambia qualcosa oppure una volta all’anno, entro il 31 marzo di ciascun anno.

Contattaci per richiedere un appuntamento o per approfondire maggiormente i nostri servizi di consulenza

  • Formazione e Aggiornamento del Personale
  • Attività di Consulenza Privacy e assistenza annuale
  • Consulenza per Casi Particolari (ricorsi, segnalazioni...)
  • Modello Organizzativo della Privacy
  • Nomine di Responsabile del Trattamento dei Dati
  • Redazione delle Informative sul Trattamento dei Dati
  • Redazione dei Registri delle Attività dei Trattamenti
  • Regolamento per l'utilizzo dei Dispositivi Informatici
  • Ricopriamo il ruolo di Responsabile della Protezione Dati
  • Valutazione d'Impatto sulla Protezione dei Dati
  • Verifica della Conformità del Sito Web e Cookies Policy
  • Consulenza su Videosorveglianza e Geolocalizzazione
 

Consulenza per la Certificazione ISO dei Sistemi di Gestione Aziendali – Studio Rabaioli