Modello Organizzativo Privacy: la progettazione e l’implementazione
Il nostro studio di Consulenza Privacy realizzerà per ogni azienda cliente un Modello Organizzativo Privacy coerente e coordinato nel rispetto dell’organizzazione specifica di ogni azienda.
Grazie ai dettami della ISO 31000 (i principi e le linee guida della gestione del rischio), il nostro studio di Consulenza Privacy creerà un Modello Organizzativo Privacy personalizzato che darà al Titolare del Trattamento la possibilità da un lato di dimostrare di aver fatto il massimo per garantire il rispetto della normativa e dall’altro doterà l’azienda di un documento valido a garantire maggior controllo delle proprie attività ed economie di scala.
Pertanto si può dunque affermare che un Modello Organizzativo Privacy può essere prima di tutto un’opportunità per migliorare il rendimento dei processi interno all’azienda.
Come struttureremo il Modello Organizzativo Privacy
Modello Organizzativo Privacy: individuare i dati trattati, i soggetti interessati e la base giuridica
La prima attività è rappresentata dalla redazione del Registro dei Trattamenti (come previsto dell’art. 30 del GDPR). La compilazione del registratto infatti consente di avere una evidenza dei soggetti interessati, delle tipologie di dati trattati e della loro provenienza.
Modello Organizzativo Privacy: la valutazione dei rischi
Una volta in possesso del registro dei trattamenti, si effettua la valutazione dei possibili rischi, tenendo conto delle misure di mitigazione già messe in atto e delle eventuali misure da implementare.
Modello Organizzativo Privacy: valutare se è necessario redigere una DPIA (Data Protection Impact Assessment)?
In base a quanto disposto dall’art. 35 del Regolamento, la DPIA si rende necessaria in presenza di rischi elevati che, nel caso del settore sanitario, vengono rappresentati dalla voce “dati riferiti a soggetti vulnerabili”.
Modello Organizzativo Privacy: valutare se è necessaria la nomina del Data Protection Officer (DPO)
La nomina del DPO/RPD (art. 37), è obbligatoria per gli enti pubblici e per quelle organizzazioni che trattano particolari categorie di dati (ad esempio i dati sanitari).
Può essere nominato sia un soggetto esterno che interno all’organizzazione, senza però trovarsi in situazioni che presentino conflitti di interesse.
Modello Organizzativo Privacy: verificare l’adeguatezza della informativa privacy
Agli artt. 13 e 14 del GDPR troviamo le indicazioni relative all’informativa dei trattamenti dei dati
Modello Organizzativo Privacy: predisporre il modello per il rilascio del consenso
Bisogna poter dimostrare che il consenso è avvenuto in maniera libera, inequivocabile ed informata. L’art. 7 del GDPR, in maniera specifica, ne disciplina le caratteristiche ed i casi in cui è reso obbligatorio.
Modello Organizzativo Privacy: Rispondere al diritto di trasparenza verso i soggetti interessati
Predisporre procedure atte a rispondere prontamente ai diritti dell’interessato.
Modello Organizzativo Privacy: Privacy by Design e Privacy by Default
Si tratta di due principi cardine. La privacy deve essere pensata sin dalla progettazione e come opzione predefinita.
E’ richiesta un’autovalutazione dell’adeguatezza dei sistemi utilizzati in relazione alla tutela dei dati.
Modello Organizzativo Privacy: predisporre un modello di contratto per ogni necessità
Oltre al titolare ci sono, o ci potrebbero essere, altre figure coinvolte nella gestione dei dati:
- Contitolari;
- Responsabili esterni od interni;
- Addetti al trattamento;
E’ necessario predisporre, per ciascun soggetto, un incarico scritto che ne chiarisca competenze e responsabilità.
Modello Organizzativo Privacy: verificare eventuali trasferimenti dei dati verso paesi terzi o verso organismi internazionali
Il trasferimento, verso paesi terzi, dei dati trattati richiede un’attenta valutazione dei rischi e la predisposizione di accorgimenti tecnici ed organizzativi idonei a mitigarne eventuali impatti.
Modello Organizzativo Privacy: individuare se i sistemi tecnologici potrebbero essere fonte di rischio
Quasi tutti gli strumenti tecnologici sono oggi collegati o collegabili in rete, questo rappresenta un potenziale pericolo che deve essere adeguatamente gestito.
Modello Organizzativo Privacy: formazione del personale preposto al trattamento dei dati personali
Il GDPR pone la formazione su un piano di assoluto rilievo (art. 39 del GDPR). E’ obbligo del titolare rendere edotti i responsabili e gli addetti delle procedure e dei rischi collegati al trattamento dei dati.
Predisporre delle schede su cui registrare la formazione sostenuta da ciascun soggetto.
Modello Organizzativo Privacy: predisporre procedure di comportamento
Creare procedure che regolino particolari attività:
- l’utilizzo di internet, della posta elettronica e dei dispositivi informatici (tablet, smartphone, pendrive);
- modalità di archiviazione dei dati e loro cifratura;
- regole e limitazioni per l’accesso ai dati (chi può fare cosa);
Modello Organizzativo Privacy: cosa fare in caso di violazione di dati personali (data breach) degli archivi
Gli adempimenti, in caso di violazione dei dati personali (data breach), sono disciplinati dagli artt. 33 e 34 del GDPR.
Predisporre la procedura, in caso di violazione, che contenga:
- modello di comunicazione da inviare all’Autorità garante entro le 72 ore dall’intrusione;
- modello di comunicazione da inviare agli interessati;
- registro delle violazioni, su cui riportare le azioni intraprese o le eventuali cause di esonero;
- procedure e controlli di “Business Continuity”.
Modello Organizzativo Privacy: periodicamente effettuare verifiche ed audit
Predisporre una procedura che preveda la verifica periodica, anche attraverso audit, della corretta attuazione di quelle che sono le disposizioni previste dal GDPR e la rispondenza, delle valutazioni contenute nel Modello Organizzativo Privacy, rispetto alle esigenze dell’organizzazione.
Il MOP va revisionato idealmente quando cambia qualcosa oppure una volta all’anno, entro il 31 marzo di ciascun anno.