Posts

PILLOLE PRIVACY n° 3 – MISURE ORGANIZZATIVE

/in /by

Pillola 3

Ruoli, responsabilità e collaborazione

Come abbiamo visto, la struttura privacy può essere snella o articolata ed essere impegnata a tempo pieno o in modo parziale per le attività connesse alla protezione di dati personali.

Qualunque sia la scelta, è necessario che ruoli e responsabilità siano esplicitamente assegnati e compresi.

In alcuni contesti, un singolo professionista ha il mandato di occuparsi di ogni aspetto della protezione dei dati personali, agendo da punto d’ingresso per qualunque problematica; il professionista, ove necessario, deve poter coinvolgere le funzioni organizzative competenti per ottenere informazioni, prendere decisioni o dare seguito ad azioni specifiche.

In altre situazioni, il responsabile gerarchico della struttura privacy distribuirà i compiti che potranno, per esempio, essere relativi alla gestione delle violazioni, alla conservazione della documentazione pertinente, alla progettazione di sessioni di formazione periodiche, alla gestione delle richieste degli interessati, alla gestione del rischio, alla partecipazione nei team per lo sviluppo di nuovi progetti e/o servizi che devono tener conto delle prescrizioni in merito alla privacy by design e by default.

Il responsabile assegnerà alle attività da svolgere, in funzione della specifica situazione, una priorità e una pianificazione di massima, per non esporre l’organizzazione al rischio di sanzioni.

In ogni caso, tutta l’organizzazione, indipendentemente dai ruoli e dalle mansioni, deve sentirsi coinvolta e deve essere disponibile, se richiesto, a collaborare in modo fattivo all’adozione e al mantenimento di un modello privacy efficace.

Relazioni della struttura privacy con il vertice aziendale

Lo stato dei programmi, delle attività e dei controlli effettuati dalla struttura privacy deve essere portato a conoscenza del vertice aziendale e condiviso periodicamente ai più alti livelli di management. La condivisione con il vertice è necessaria per mantenere il costante allineamento tra gli obiettivi aziendali e la strategia della protezione dei dati personali; consente inoltre di condividere la situazione di conformità ai requisiti di legge e lo stato in merito ai più importanti rischi o agli eventi accaduti, in merito ai quali è necessario prendere decisioni o effettuare scelte.

La responsabilità della corretta protezione dei dati personali è infatti interamente ascrivibile al vertice aziendale, che deve quindi avere una visione aggiornata e deve assicurarsi che l’organizzazione abbia fatto il possibile per raggiungere la conformità e per gestire ed eventualmente ridurre i rischi legati al trattamento dei dati personali

PILLOLE PRIVACY n° 2 – MISURE ORGANIZZATIVE

/in /by

Pillola 2

Stabilire la strategia e assegnare le responsabilità

L’organizzazione, partendo dall’analisi del contesto specifico e del settore di mercato in cui opera, stabilisce gli obiettivi della struttura privacy, assegna loro una priorità e definisce una strategia che permetta di raggiungerli.

L’organigramma aziendale deve prevedere una funzione che si occupi di presidiare l’applicazione delle normative vigenti e che sia il punto di riferimento dell’organizzazione per ogni tematica relativa alla protezione dei dati personali.

L’assegnazione chiara delle responsabilità è necessaria anche per le organizzazioni che non sono obbligate, secondo la normativa, a dotarsi di un Data Protection Officer.

Risorse e compiti

La responsabilità del coordinamento delle attività e degli aspetti operativi è affidata al Data Protection Officer, ove presente; in ogni caso, a prescindere dalla nomina del DPO, è sempre opportuno affidare tale compito a una persona chiaramente identificata (con nome e cognome).

In funzione delle dimensioni e della specificità del contesto, la struttura che si occupa della protezione dei dati personali (“struttura privacy”) potrà essere costituita da una o più risorse che svolgono le attività a tempo pieno o a tempo parziale; le risorse potranno essere interne o esterne all’organizzazione.

Le organizzazioni più grandi e complesse mettono a disposizione della struttura privacy competenze multidisciplinari (per esempio legali, organizzative, normative, tecnologiche, di processo): possono farlo su base continuativa, cioè assegnando alla struttura privacy risorse dedicate ovvero prevedendo il supporto e la collaborazione di risorse specializzate in base alla necessità.

In concreto, fatta salva l’individuazione della persona a cui affidare la responsabilità del sistema privacy aziendale, la scelta del modello organizzativo è assolutamente libera.

PILLOLE PRIVACY N° 1 – MISURE ORGANIZZATIVE

/in /by

Pillola 1

Il ruolo del vertice aziendale

L’alta direzione svolge un ruolo chiave nella determinazione di un modello organizzativo efficace per una corretta gestione della protezione dei dati personali; non solo perché, come è ovvio, le competono le decisioni in merito alle risorse e ai mezzi da dedicare alla materia ma anche perché il suo supporto attivo è fondamentale per testimoniare l’importanza di una corretta gestione dei dati personali all’interno di tutta l’organizzazione (accountability).

Il vertice aziendale ha il compito di indicare il cammino verso la conformità al Regolamento Europeo affinché l’organizzazione intera, nel tempo, acquisisca la giusta consapevolezza, adotti comportamenti virtuosi e collabori fattivamente al recepimento degli aggiornamenti normativi.

Da un punto di vista pratico, la direzione promuove il senso di responsabilizzazione del management, inserendo il tema privacy (relativamente ai dati personali di clienti, fornitori e dipendenti) nei meeting periodici di direzione; testimonia inoltre il proprio impegno con comunicazioni specifiche e con la sponsorizzazione di iniziative che hanno lo scopo di aumentare il livello di consapevolezza dell’intera organizzazione.

L’importanza che la protezione dei dati personali riveste per l’organizzazione si esplicita anche assegnando a una struttura, dotata di risorse e mezzi adeguati, il compito di guidare e vigilare sulla conformità alla normativa.