PILLOLE PRIVACY n° 4 – MISURE ORGANIZZATIVE

PILLOLA 4

La comunicazione interna

La tutela dei dati personali conferiti all’organizzazione è un valore che deve essere trasmesso a tutta l’organizzazione perché contribuisce al raggiungimento degli obiettivi di business aziendali.

La struttura privacy definisce un piano di comunicazione interno allo scopo di elevare il livello di consapevolezza dell’organizzazione e di mantenerlo nel tempo.

La comunicazione riveste un ruolo molto importante perché costruisce un linguaggio condiviso, fornisce gli strumenti per una corretta chiave di lettura e crea le basi che permettono all’organizzazione di reagire prontamente a eventuali criticità o fatti inaspettati. Può essere vista come un vero e proprio momento di formazione, un’occasione per diffondere la cultura della protezione dei dati personali e una dimostrazione di accountability da parte del Titolare del trattamento.

La comunicazione interna può avvenire attraverso canali diversi ed essere formale o informale. Si può, ad esempio, usare l’intranet aziendale per diffondere comunicazioni di aggiornamento periodiche (newsletter), oppure si possono prevedere seminari specifici indirizzati alle funzioni che, a vario titolo, effettuano trattamenti di dati personali. È inoltre importante che un rappresentante della struttura privacy prenda parte ai meeting periodici delle funzioni aziendali (per esempio IT, sicurezza, marketing, sviluppo applicativo, legale, customer care, call center) per ogni aspetto legato alla privacy.

Comunicazione e rapporti esterni

La comunicazione nei confronti di tutti coloro che guardano all’organizzazione o che hanno con essa rapporti d’affari è un aspetto che deve essere curato, soprattutto nell’era del digitale. Una comunicazione trasparente e onesta con la clientela, per esempio, è indice di affidabilità e può tradursi in un vantaggio competitivo.

Comunicare quali azioni sono state messe in atto dall’organizzazione per aumentare la tutela dei dati personali dei propri clienti o associati aumenta la fiducia degli interessati e rinforza il brand.

È possibile, ad esempio, pubblicare sul sito i report che mostrano una riduzione dell’esposizione al rischio  sicurezza attraverso l’attivazione di nuove procedure o di nuovi sistemi oppure che illustrano i risultati positivi di un audit, che notificano l’avvio di un processo di certificazione intrapreso dall’organizzazione; informare gli stakeholder esterni dei risultati positivi ottenuti è un ottimo modo per dimostrare impegno e per fidelizzare.

PILLOLE PRIVACY n° 3 – MISURE ORGANIZZATIVE

Pillola 3

Ruoli, responsabilità e collaborazione

Come abbiamo visto, la struttura privacy può essere snella o articolata ed essere impegnata a tempo pieno o in modo parziale per le attività connesse alla protezione di dati personali.

Qualunque sia la scelta, è necessario che ruoli e responsabilità siano esplicitamente assegnati e compresi.

In alcuni contesti, un singolo professionista ha il mandato di occuparsi di ogni aspetto della protezione dei dati personali, agendo da punto d’ingresso per qualunque problematica; il professionista, ove necessario, deve poter coinvolgere le funzioni organizzative competenti per ottenere informazioni, prendere decisioni o dare seguito ad azioni specifiche.

In altre situazioni, il responsabile gerarchico della struttura privacy distribuirà i compiti che potranno, per esempio, essere relativi alla gestione delle violazioni, alla conservazione della documentazione pertinente, alla progettazione di sessioni di formazione periodiche, alla gestione delle richieste degli interessati, alla gestione del rischio, alla partecipazione nei team per lo sviluppo di nuovi progetti e/o servizi che devono tener conto delle prescrizioni in merito alla privacy by design e by default.

Il responsabile assegnerà alle attività da svolgere, in funzione della specifica situazione, una priorità e una pianificazione di massima, per non esporre l’organizzazione al rischio di sanzioni.

In ogni caso, tutta l’organizzazione, indipendentemente dai ruoli e dalle mansioni, deve sentirsi coinvolta e deve essere disponibile, se richiesto, a collaborare in modo fattivo all’adozione e al mantenimento di un modello privacy efficace.

Relazioni della struttura privacy con il vertice aziendale

Lo stato dei programmi, delle attività e dei controlli effettuati dalla struttura privacy deve essere portato a conoscenza del vertice aziendale e condiviso periodicamente ai più alti livelli di management. La condivisione con il vertice è necessaria per mantenere il costante allineamento tra gli obiettivi aziendali e la strategia della protezione dei dati personali; consente inoltre di condividere la situazione di conformità ai requisiti di legge e lo stato in merito ai più importanti rischi o agli eventi accaduti, in merito ai quali è necessario prendere decisioni o effettuare scelte.

La responsabilità della corretta protezione dei dati personali è infatti interamente ascrivibile al vertice aziendale, che deve quindi avere una visione aggiornata e deve assicurarsi che l’organizzazione abbia fatto il possibile per raggiungere la conformità e per gestire ed eventualmente ridurre i rischi legati al trattamento dei dati personali

DATA PROTECTION MANAGEMENT SYSTEM: IL MODELLO PDCA

In questo terzo e ultimo articolo dedicato al Data Protection Management System (DPMS), illustriamo brevemente i passi principali necessari a implementare il DPMS utilizzando come riferimento le quattro fase del ciclo di Deming (PDCA).

PLAN 

Nella fase di pianificazione si fissano gli obiettivi, si individuano le risorse e si definiscono gli strumenti e i processi indispensabili per garantire il raggiungimento del risultato atteso.

In sostanza, in questa fase si “scrivono le specifiche” del sistema che saranno realizzate nella fase di DO.

  • Analisi del contesto: è l’analisi dell’ambiente (interno ed esterno) in cui opera l’organizzazione, compresi processi, procedure e sistemi di gestione già presenti. È parte fondamentale dell’analisi del contesto la comprensione delle necessità e delle aspettative degli stakeholder.
  • Leadership e impegno: è il punto di partenza per ogni attività relativa al DPMS. La direzione deve identificare gli obiettivi del DPMS in coerenza con la politica dell’organizzazione e impegnarsi per il suo sviluppo attraverso l’attribuzione di risorse, ruoli e responsabilità e la nomina del project manager da dedicare al progetto.
  • Policy e campo di applicazione del DPMS: è lo step in cui si definiscono i confini e il campo di applicazione del DPMS e la Policy della protezione dei dati personali.
  • Risk management: è l’insieme di attività, metodologie e risorse necessarie per individuare e gestire i rischi aziendali legati al trattamento dei dati personali.

DO

Nella fase di attuazione si implementano le specifiche del sistema secondo quanto definito e pianificato nella fase precedente.

  • Organigramma e documentazione: è lo step di redazione dei contenuti della documentazione relativa al DPMS, un elemento fondamentale per comprovare l’aderenza al Regolamento.
  • Comunicazione e formazione: sono strumenti indispensabili per diffondere nell’organizzazione i principi ed i metodi del DPMS, per renderlo operativo e garantirne il successo.
  • I controlli: è lo step in cui sono implementati i processi di misurazione che servono a tenere sotto controllo il DPMS e i rischi inerenti la protezione dei dati personali. Essi sono scelti in funzione dei risultati prodotti dall’attività di risk management.
  • La gestione degli incidenti: in questo step sono implementati i processi e le procedure operative per gestire gli incidenti che potrebbero causare una violazione dei dati personali.
  • L’attivazione del DPMS: nel caso di implementazione ex-novo del DPMS, questo è il momento della sua introduzione operativa, in cui si mette in pratica quanto pianificato e implementato; se l’organizzazione ha già un DPMS attivo, successivamente alla verifica delle rilevazioni di funzionamento contestualizzate, si introducono le migliorie e le ottimizzazioni pianificate.

CHECK

Nella fase di controllo del DPMS si misura lo “stato di salute” del sistema per mezzo di appositi indicatori progettati nella fase di PLAN.

  • Monitoraggio e Audit interno: questa fase del ciclo di Deming ha l’obiettivo di verificare l’efficacia e la conformità del DPMS implementato e di programmare le azioni necessarie per migliorarlo.
  • Riesame di Direzione: i risultati del monitoraggio e dell’audit e le possibilità di miglioramento sono oggetto del riesame di direzione. In questo step il vertice dell’organizzazione ribadisce la propria volontà di mantenere e migliorare il DPMS

ACT

Nella fase di manutenzione e miglioramento, si perfeziona il DPMS, apportando i miglioramenti necessari per ottenere risultati di misurazione più soddisfacenti.

  • Non conformità e miglioramento continuo: la quarta ed ultima fase del ciclo di Deming affronta le tematiche del miglioramento del DPMS e individua le azioni correttive che permettono di risolvere eventuali non conformità emerse nel corso dell’audit interno.

Conoscere e implementare la Privacy” può essere ordinato in formato cartaceo al link http://www.youcanprint.it/fiction/business-ed-economia-generale/conoscere-e-implementare-la-privacy-9788892665354.html.

In formato e-pub è disponibile al link www.amazon.it/dp/B071X2V3HR

La prima parte del libro in formato pdf può essere invece richiesta direttamente a: www.privacyinchiaro.it/conoscere-implementare-la-privacy/

PILLOLE PRIVACY n° 2 – MISURE ORGANIZZATIVE

Pillola 2

Stabilire la strategia e assegnare le responsabilità

L’organizzazione, partendo dall’analisi del contesto specifico e del settore di mercato in cui opera, stabilisce gli obiettivi della struttura privacy, assegna loro una priorità e definisce una strategia che permetta di raggiungerli.

L’organigramma aziendale deve prevedere una funzione che si occupi di presidiare l’applicazione delle normative vigenti e che sia il punto di riferimento dell’organizzazione per ogni tematica relativa alla protezione dei dati personali.

L’assegnazione chiara delle responsabilità è necessaria anche per le organizzazioni che non sono obbligate, secondo la normativa, a dotarsi di un Data Protection Officer.

Risorse e compiti

La responsabilità del coordinamento delle attività e degli aspetti operativi è affidata al Data Protection Officer, ove presente; in ogni caso, a prescindere dalla nomina del DPO, è sempre opportuno affidare tale compito a una persona chiaramente identificata (con nome e cognome).

In funzione delle dimensioni e della specificità del contesto, la struttura che si occupa della protezione dei dati personali (“struttura privacy”) potrà essere costituita da una o più risorse che svolgono le attività a tempo pieno o a tempo parziale; le risorse potranno essere interne o esterne all’organizzazione.

Le organizzazioni più grandi e complesse mettono a disposizione della struttura privacy competenze multidisciplinari (per esempio legali, organizzative, normative, tecnologiche, di processo): possono farlo su base continuativa, cioè assegnando alla struttura privacy risorse dedicate ovvero prevedendo il supporto e la collaborazione di risorse specializzate in base alla necessità.

In concreto, fatta salva l’individuazione della persona a cui affidare la responsabilità del sistema privacy aziendale, la scelta del modello organizzativo è assolutamente libera.

DATA PROTECTION MANAGEMENT SYSTEM: APPROCCIO METODOLOGICO

In questo secondo articolo dedicato al Data Protection Management System (DPMS) ci soffermiamo sugli obiettivi che si intendono raggiungere con l’implementazione del DPMS.

È, infatti, necessario definire con chiarezza:

  • il campo di applicazione del DPMS (per esempio una porzione dei trattamenti o tutti i trattamenti effettuati dall’organizzazione);
  • le tempistiche entro le quali si vogliono ottenere i risultati;
  • il livello di maturità del sistema che si desidera raggiungere;
  • i controlli di sicurezza ad esso associati.

Ipotizziamo che a dover affrontare l’implementazione di un DPMS sia un’organizzazione di dimensioni e complessità medie. Se si utilizzasse una metodologia di lavoro di tipo tradizionale, ovvero sequenziale, non è irragionevole ipotizzare che l’implementazione, a partire dal suo concepimento e fino al completamento del primo ciclo PDCA, richiederebbe un arco temporale di alcuni mesi.

In genere, i principali ostacoli percepiti in merito a questo approccio sono relativi alla quantità di tempo e di risorse che devono essere coinvolte per la pianificazione, l’analisi, l’approvazione e la realizzazione del sistema, sottraendole alla normale attività di business.

Questi ostacoli possono essere superati se decide di procedere per passi successivi e per raggiungere obiettivi più vicini nel tempo, scegliendo, tra quelli che seguono, l’approccio che meglio sposa le proprie esigenze e le proprie priorità.

  • Approccio orientato al business: l’implementazione del sistema riguarda solo una funzione o aree limitate dell’organizzazione, in relazione a specifiche necessità di business (esempio: call center).
  • Approccio orientato all’integrazione: l’organizzazione ha già un sistema di gestione operativo (per esempio quello relativo alla sicurezza delle informazioni) nel quale decide di integrare il DPMS
  • Approccio iterativo: si procede all’implementazione del sistema (definendo un campo di applicazione inziale) – con attori identificati e coinvolti e processi ben definiti – e si lavora al suo miglioramento nel tempo.

Qualunque sia la strada che l’organizzazione decide di seguire, è opportuno tener conto delle seguenti indicazioni,

  1. Avere la leadership della direzione aziendale: il pieno supporto e il coinvolgimento della direzione è un pre-requisito per la realizzazione del DPMS.
  2. Nominare un Project Manager: è opportuno individuare e nominare un responsabile per il progetto d’implementazione del sistema di gestione e non è necessario che l’incarico sia assegnato al Privacy manager o al DPO.
  3. Coinvolgere gli stakeholder: è fondamentale definire i ruoli e le responsabilità di tutte le parti interessate e adoperarsi per coinvolgerle e motivarle fin dalle fasi iniziali del progetto.
  4. Integrare il DPMS nei sistemi esistenti: è opportuno progettare il sistema tenendo conto dei sistemi di gestione già implementati dall’organizzazione.
  5. Costruire il DPMS sui processi esistenti: è buona norma riutilizzare tutto ciò che è già patrimonio dell’organizzazione (ciò che esiste ed è formalizzato) ed è conforme, evitando di inserire nuovi processi che necessiterebbero di un periodo di adattamento o che, semplicemente, non rispecchiano la realtà in cui devono essere inseriti.
  6. Limitare l’integrazione di nuove tecnologie: è opportuno progettare il sistema di gestione sulla base della tecnologia già in uso.
  7. Applicare il principio del miglioramento continuo: il principio del miglioramento continuo può essere applicato con utilità fin nelle fasi iniziali, per esempio tenendo conto dei suggerimenti e delle indicazioni ricevute dalle parti interessate e coinvolte nel progetto.

L’ultimo consiglio che vogliamo dare è quello di usare il buon senso: non è affatto necessario progettare sistemi complessi per gestire questioni complesse.

 

Conoscere e implementare la Privacy” può essere ordinato in formato cartaceo al link http://www.youcanprint.it/fiction/business-ed-economia-generale/conoscere-e-implementare-la-privacy-9788892665354.html.

In formato e-pub è disponibile al link www.amazon.it/dp/B071X2V3HR

La prima parte del libro in formato pdf può essere invece richiesta direttamente a: www.privacyinchiaro.it/conoscere-implementare-la-privacy/

PILLOLE PRIVACY N° 1 – MISURE ORGANIZZATIVE

Pillola 1

Il ruolo del vertice aziendale

L’alta direzione svolge un ruolo chiave nella determinazione di un modello organizzativo efficace per una corretta gestione della protezione dei dati personali; non solo perché, come è ovvio, le competono le decisioni in merito alle risorse e ai mezzi da dedicare alla materia ma anche perché il suo supporto attivo è fondamentale per testimoniare l’importanza di una corretta gestione dei dati personali all’interno di tutta l’organizzazione (accountability).

Il vertice aziendale ha il compito di indicare il cammino verso la conformità al Regolamento Europeo affinché l’organizzazione intera, nel tempo, acquisisca la giusta consapevolezza, adotti comportamenti virtuosi e collabori fattivamente al recepimento degli aggiornamenti normativi.

Da un punto di vista pratico, la direzione promuove il senso di responsabilizzazione del management, inserendo il tema privacy (relativamente ai dati personali di clienti, fornitori e dipendenti) nei meeting periodici di direzione; testimonia inoltre il proprio impegno con comunicazioni specifiche e con la sponsorizzazione di iniziative che hanno lo scopo di aumentare il livello di consapevolezza dell’intera organizzazione.

L’importanza che la protezione dei dati personali riveste per l’organizzazione si esplicita anche assegnando a una struttura, dotata di risorse e mezzi adeguati, il compito di guidare e vigilare sulla conformità alla normativa.