PILLOLE PRIVACY n° 3 – MISURE ORGANIZZATIVE
Pillola 3
Ruoli, responsabilità e collaborazione
Come abbiamo visto, la struttura privacy può essere snella o articolata ed essere impegnata a tempo pieno o in modo parziale per le attività connesse alla protezione di dati personali.
Qualunque sia la scelta, è necessario che ruoli e responsabilità siano esplicitamente assegnati e compresi.
In alcuni contesti, un singolo professionista ha il mandato di occuparsi di ogni aspetto della protezione dei dati personali, agendo da punto d’ingresso per qualunque problematica; il professionista, ove necessario, deve poter coinvolgere le funzioni organizzative competenti per ottenere informazioni, prendere decisioni o dare seguito ad azioni specifiche.
In altre situazioni, il responsabile gerarchico della struttura privacy distribuirà i compiti che potranno, per esempio, essere relativi alla gestione delle violazioni, alla conservazione della documentazione pertinente, alla progettazione di sessioni di formazione periodiche, alla gestione delle richieste degli interessati, alla gestione del rischio, alla partecipazione nei team per lo sviluppo di nuovi progetti e/o servizi che devono tener conto delle prescrizioni in merito alla privacy by design e by default.
Il responsabile assegnerà alle attività da svolgere, in funzione della specifica situazione, una priorità e una pianificazione di massima, per non esporre l’organizzazione al rischio di sanzioni.
In ogni caso, tutta l’organizzazione, indipendentemente dai ruoli e dalle mansioni, deve sentirsi coinvolta e deve essere disponibile, se richiesto, a collaborare in modo fattivo all’adozione e al mantenimento di un modello privacy efficace.
Relazioni della struttura privacy con il vertice aziendale
Lo stato dei programmi, delle attività e dei controlli effettuati dalla struttura privacy deve essere portato a conoscenza del vertice aziendale e condiviso periodicamente ai più alti livelli di management. La condivisione con il vertice è necessaria per mantenere il costante allineamento tra gli obiettivi aziendali e la strategia della protezione dei dati personali; consente inoltre di condividere la situazione di conformità ai requisiti di legge e lo stato in merito ai più importanti rischi o agli eventi accaduti, in merito ai quali è necessario prendere decisioni o effettuare scelte.
La responsabilità della corretta protezione dei dati personali è infatti interamente ascrivibile al vertice aziendale, che deve quindi avere una visione aggiornata e deve assicurarsi che l’organizzazione abbia fatto il possibile per raggiungere la conformità e per gestire ed eventualmente ridurre i rischi legati al trattamento dei dati personali
Leave a Reply
Want to join the discussion?Feel free to contribute!