Pillola 2

Stabilire la strategia e assegnare le responsabilità

L’organizzazione, partendo dall’analisi del contesto specifico e del settore di mercato in cui opera, stabilisce gli obiettivi della struttura privacy, assegna loro una priorità e definisce una strategia che permetta di raggiungerli.

L’organigramma aziendale deve prevedere una funzione che si occupi di presidiare l’applicazione delle normative vigenti e che sia il punto di riferimento dell’organizzazione per ogni tematica relativa alla protezione dei dati personali.

L’assegnazione chiara delle responsabilità è necessaria anche per le organizzazioni che non sono obbligate, secondo la normativa, a dotarsi di un Data Protection Officer.

Risorse e compiti

La responsabilità del coordinamento delle attività e degli aspetti operativi è affidata al Data Protection Officer, ove presente; in ogni caso, a prescindere dalla nomina del DPO, è sempre opportuno affidare tale compito a una persona chiaramente identificata (con nome e cognome).

In funzione delle dimensioni e della specificità del contesto, la struttura che si occupa della protezione dei dati personali (“struttura privacy”) potrà essere costituita da una o più risorse che svolgono le attività a tempo pieno o a tempo parziale; le risorse potranno essere interne o esterne all’organizzazione.

Le organizzazioni più grandi e complesse mettono a disposizione della struttura privacy competenze multidisciplinari (per esempio legali, organizzative, normative, tecnologiche, di processo): possono farlo su base continuativa, cioè assegnando alla struttura privacy risorse dedicate ovvero prevedendo il supporto e la collaborazione di risorse specializzate in base alla necessità.

In concreto, fatta salva l’individuazione della persona a cui affidare la responsabilità del sistema privacy aziendale, la scelta del modello organizzativo è assolutamente libera.