L’organigramma privacy e i ruoli per una efficace governance

Troppo spesso si confondono due concetti che non sono affatto sinonimici: l’Organigramma Privacy ed il Modello di Governance. L’uno si riferisce alla schematizzazione di una struttura organizzativa; l’altro invece indica quell’insieme di norme, leggi e regolamenti che disciplinano la gestione e la direzione di un’attività. Per un’efficace compliance al GDPR occorre che entrambi siano correttamente analizzati ed indirizzati costituendo la “spina dorsale” del Modello Organizzativo Privacy cd MOP.

 Chiara Ponti
Ufficio Compliance

INDICE:

Quid prodest? Efficacia dell’organigramma privacy

L’importanza di avere un organigramma privacy risiede anzitutto nella necessità di soddisfare, concretamente, il principio di accountability. Si tratta dunque del primo atto dal quale è possibile, con tutta evidenza, dimostrare la tenuta dell’accountability nonché ricavare quali sono gli attori protagonisti in materia di protezione dati personali. Non solo, ma trattasi anche dei primitivi adempimenti necessari per raggiungere la compliance al GDPR. Non a caso, infatti, è richiesto di definire sempre, con chiarezza, i ruoli privacy e le responsabilità dei soggetti “attivi” nell’iter di trattamento dei dati personali. La definizione di “ruoli e responsabilità” prevede l’individuazione di un Responsabile il quale si relazioni direttamente con la Direzione, ed il resto dell’Organizzazione idoneo oltretutto a rappresentare la medesima in sede di eventuale verifica.[1] [1] Per completezza, esistono poi una serie di responsabili, legati ai processi ed agli asset.
Conosci GoPrivacy?

Conosci GoPrivacy?

Un gestionale come GoPrivacy soddisfa con palmare evidenza un aspetto così importante dal momento che, da un lato consente lo sviluppo di un organigramma privacy completo (corredato altresì di deleghe per le funzioni apicali non operative) e dall’altro richiama comodamente gli elementi dell’Organigramma nei registri ed in ogni altra attività/contenuto relativamente allo specifico contesto

Modello organizzativo privacy GoPrivacy 3
Figura 1 Estratto da GoPrivacy con esempio di organigramma
Struttura area di riferimento modello organizzativo Privacy
Figura 2 Estratto da GoPrivacy esempio di collegamento dinamico con l’Organigramma

In fieri: normativa ed aspettative

In osservanza alle prescrizioni contenute all’interno della normativa vigente in materia di protezione dei dati personali (Reg. UE 2016/679 – GDPR; D.Lgs. 196/2003 come riformato dal D. lgs 101/2018), l’Organizzazione vieppiù se complessa, è chiamata a stabilire una gerarchia. 

Al fine di illustrarne una possibile attuazione, riportiamo una nostra proposta[1] che utilizza “gradi marinareschi” al fine di evocare una struttura gerarchica piramidale:

  • Privacy Admiral, con funzioni di responsabilità e coordinamento;
  • Privacy Captain, con funzioni di coordinamento e controllo;
  • Privacy Marshall, con funzioni di controllo e operative.

Il DPO che nel nostro immaginario corpus organizzativo “militare” assume (seppure il grado non gli renda giustizia) il ruolo di “sergente istruttore[2], ha il ruolo di supervisionare le attività ed intervenire identificando e correggendo eventuali comportamenti anomali.

Il Privacy Admiral, essendo il più alto in grado, detiene la responsabilità della compliance, e si avvale delle figure in seguito dettagliate per essere supportato in codesta attività.

I Privacy Captain, detengono poteri di organizzazione, gestione e controllo, in piena aderenza all’art. 2-quaterdecies comma I del riformato Codice privacy, conferendo ai medesimi giuste deleghe circa l’esercizio delle funzioni di supervisione, coordinamento e controllo delle attività di trattamento dei dati personali svolte all’interno dell’Organizzazione e dei correlati adempimenti previsti dal GDPR nell’ambito di tali attività (ivi incluso il potere di supervisionare l’attuazione dei Provvedimenti e delle misure tecniche ed organizzative necessarie a norma degli artt. 24 e 32 del GDPR).

I Privacy Marshall, nominati ai sensi e per gli effetti di cui all’art. 29. GDPR, detengono invece le deleghe relative all’esercizio di funzioni di gestione organizzativa ed operativa delle attività di Trattamento dei dati personali svolte nell’ambito dell’area di competenza e dei correlati adempimenti previsti dal GDPR, al fine di permettere ai Privacy Captain l’esercizio delle funzioni di coordinamento, direzione e controllo, il tutto finalizzato a consentire che il Titolare del trattamento ossia la Direzione sia in grado di dimostrare che il trattamento dei dati personali sia effettuato in modo conforme alla normativa vigente.

[1] Per ulteriori approfondimenti, V. «IL SISTEMA INTEGRATO PER LA SICUREZZA DELLE INFORMAZIONI E LA DATA PROTECTION. Guida operativa all’efficace integrazione dei due mondi con l’ausilio della ISO 27701» Ed. EPC, 2021 C. Ponti, R. Castroreale.

[2] Nello stile del famoso Sergente Hartman nel memorabile film “Full Metal Jacket

i ruoli aziendali della Privacy
Figura 3 Piramide dei ruoli privacy

Modus operandi: come costruire le nomine privacy, i punti essenziali


Le nomine facili e funzionali

Le nomine facili e funzionali

GoPrivacy offre la possibilità di autoprodurre tutte le necessarie nomine, trai cui quelle che verranno riportate nel prosieguo della trattazione.
I citati soggetti appartengono alla categoria dei "Designati" ex art. 2 quaterdecies del riformato Cod. Privacy, come detto. Questi, in pratica, sono un “gradino sopra” gli Autorizzati (semplici), aventi specifiche responsabilità in ambito di trattamento dati personali.

Per chiarezza espositiva, di seguito forniamo — rispettivamente per le due figure — gli elementi di base per costruire le nomine ex art. 2 quaterdecies cit., ben potendo le stesse costituire, nei punti essenziali, utili tracce di modelli di nomina.

Esempio di estratto di nomina per Privacy Captain (Autorizzati di 1°Livello)

Di seguito un estratto di nomina che potrebbe essere adoperato ed emulato, con le dovute personalizzazioni del caso legate al contesto, per l’atto di nomina di un ipotetico Autorizzato di 1°Livello.

I Privacy Captain nell’ambito dei poteri agli stessi attribuiti di cui al precedente punto, potranno avere i seguenti compiti e funzioni:

  • Farsi parti attive ai fini dell’effettiva adozione e rispetto delle politiche, procedure e linee guida adottate dall’organizzazione.
  • Contribuire efficacemente alla realizzazione del modello di compliance GDPR, definito, coordinato, supervisionato e adottato all’interno dall’intera organizzazione;
  • Monitorare le attività di gestione e adempimento degli obblighi previsti dal GDPR sulla base delle policy dell’organizzazione in materia.
  • Supervisionare:
  1. alla rilevazione ed aggiornamento delle informazioni relative alle attività di trattamento di dati personali svolte nell’area di competenza, in qualità di titolare o di responsabile del trattamento, sulla base delle procedure dell’organizzazione, anche al fine della costituzione e tenuta del registro dei trattamenti ex art. 30 del GDPR e dello svolgimento delle correlate analisi dei rischi;

     

  2. alla procedura di privacy by Design attivata dai Privacy Marshall in caso di nuovo trattamento;

     

  3. alla segnalazione o impulso da parte dei Privacy Marshall (a loro volta nominati a norma dell’art. 29 GDPR) all’eventuale avvio della procedura di valutazione d’impatto sulla protezione dei dati personali (art. 35 del GDPR) accertandosi che sia richiesto, se del caso, il supporto consultivo del DPO;

     

  • Contribuire attivamente alla definizione e cura delle procedure dell’Organizzazione nonché della modulistica riguardante i principali adempimenti privacy;

     

  • Provvedere alla raccolta delle informazioni ed alle altre attività necessarie (gestione, disamina, apprezzamento) per il riscontro alle richieste di esercizio dei diritti avanzate dagli interessati, nonché in relazione ad eventuali reclami e a richieste di informazioni o accertamenti dell’autorità, coadiuvando il DPO;

     

  • Curare l’osservanza, per quanto di competenza, delle misure organizzative, tecniche e di sicurezza dell’organizzazione, in riferimento sia agli strumenti e sistemi in uso, sia agli archivi e documenti cartacei direttamente gestiti – in tale ultimo caso, anche segnalando eventuali casi di violazione della sicurezza dei dati personali (c.d. data breach);

     

  • Individuare unitamente all’area risorse umane, i Privacy Marshall e tutte le persone autorizzate al trattamento dei dati personali appartenenti all’area di competenza, sottoscrivendo le relative “Nomine” ai sensi e per gli effetti di cui all’art. 29 del GDPR.

     

  • Individuare, congiuntamente agli altri Privacy Captain, le aree di competenza dell’organizzazione, di dipendenti/collaboratori autorizzati al trattamento dei dati personali e degli ambiti di trattamento loro consentiti, collaborando alla definizione delle garanzie di riservatezza e delle documentate istruzioni in materia;

     

  • Organizzare sessioni formative periodiche volte ad un aggiornamento costante e continuo (art. 32) sulla base delle esigenze delle Strutture.


Esempio di estratto di nomina per Privacy Marshall (Autorizzati di 2°Livello)

Di seguito un estratto di nomina che potrebbe essere adoperato ed emulato, con le dovute personalizzazioni del caso legate al contesto, per l’atto di nomina di un ipotetico Autorizzato di 1°Livello

I Privacy Marshall, oltre al rispetto delle istruzioni impartite dal Titolare del trattamento, nonché delle policy, procedure e linee guida adottate dall’Organizzazione, avranno quindi i seguenti compiti (elenco indicativo non tassativo):

 

  • Informare tempestivamente il Privacy Captain (e di conseguenza il titolare e/o responsabile) qualora ritenga vi sia concreto rischio del verificarsi di un pregiudizio per uno o più interessati;

     

  • Assicurarsi che venga dato seguito alle richieste degli interessati nel merito dell’esercizio dei propri diritti privacy ai sensi degli artt. 15 e ss. del GDPR, informando tempestivamente il titolare e/o il responsabile nonché i Privacy Captain;

     

  • Fornire supporto ai Privacy Captain nella predisposizione di tutti i documenti di pertinenza privacy (es. informative e contratti a responsabile del trattamento ex art. 28 del GDPR, ecc.) e successivamente promuoverne l’utilizzo nei confronti delle persone autorizzate che operano nell’area di competenza;

     

  • Assicurare che le informative di cui agli artt. 13 e 14 del Regolamento, vengano rese agli interessati che, ove previsto, venga raccolto il consenso;

     

  • Attivare la procedura di privacy by design predisposta in caso di nuovo trattamento;

     

  • Farsi parte attiva nell’aggiornamento del Registro delle attività di trattamento di cui all’art. 30 del GDPR segnalando eventuali anomalie, discrepanze, eventuali nuovi trattamenti di dati;

     

  • Adottare, nel trattamento dei dati, le misure di sicurezza indicate dal GDPR unitamente a quelle indicate dal titolare e/o responsabile e/o RPD;

     

  • Comunicare per iscritto al titolare e/o responsabile nonché ai Privacy Captain ogni fatto e circostanza rilevante o straordinaria, occorsa nel trattamento dei dati eseguito all’interno della propria area;

     

  • Prestare ampia e completa collaborazione al titolare e/o responsabile e/o al DPO e ai Privacy Captain al fine di compiere quanto previsto dagli adempimenti imposti dalla normativa vigente in materia di trattamento di dati personali;

     

  • Dare comunicazione tempestiva al titolare e/o al responsabile e ai Privacy Captain di eventuali violazioni, poste in essere da altri Privacy Marshall in ordine alle istruzioni ricevute, ovvero nei confronti della normativa vigente, nonché di misure di sicurezza.

     

  • Provvedere a monitorare le caselle PEC Privacy dell’organizzazione, inserendo eventuali messaggi ivi pervenuti che ritenga rilevanti ai fini privacy nel sistema di gestione interna delle richieste;

     

  • Contribuire attivamente alla definizione delle clausole e della modulistica contrattuale concernente i principali adempimenti privacy (es.: informativa e, ove necessario, consenso) di competenza delle aree dell’organizzazione, impartendo al personale autorizzato le necessarie od opportune istruzioni, anche aggiuntive rispetto a quelle dell’organizzazione, controllandone l’attuazione;

     

  • Provvedere o collaborare con le aree competenti dell’organizzazione alla gestione dei rapporti con i fornitori esterni ed i terzi (persone fisiche o giuridiche, pubbliche e private) a cui siano affidati trattamenti o comunicati dati personali di titolarità, stipulando con i medesimi, quali responsabili del trattamento ai sensi dell’art. 28 del Regolamento, apposito contratto o altro atto giuridico vincolante che contempli, almeno, gli obblighi di cui all’art. 28.3 del GDPR;

     

  • Provvedere o collaborare alla gestione dei rapporti con i clienti (persone fisiche o giuridiche, pubbliche e private) i quali affidino attività che presuppongono trattamenti di dati o comunichino dati personali di titolarità dei medesimi. In particolare, assicurandosi che vengano stipulati appositi contratti o altri atti giuridici vincolanti, utili alla nomina a responsabili del trattamento ai sensi dell’art. 28 del GDPR;

     

  • Provvedere o collaborare con le Aree competenti alla gestione dei rapporti con i fornitori esterni o terzi, nei casi l’organizzazione agiscano in qualità di responsabili del Trattamento, e ricorrano ad un altro responsabile (c.d. “Sub-responsabile”) previa autorizzazione scritta (specifica o generale) da parte del titolare del trattamento.

Riflessioni conclusive: il vero valore aggiunto dell’organigramma privacy

 

Opinando di aver dimostrato tangibilmente l’importanza di avere l’organigramma privacy, in conclusione a onor del vero, non dimentichiamoci che la massima funzionalità dello stesso, trova attuazione nei modelli di sistemi Integrati vale a dire in tutti quegli ambiti dove si vanno a “fondere” quelli volontari di certificazione (ISO 9001, ISO 27001, ecc.) con il MOP Privacy.

In questo contesto difatti, le sinergie offerte dalla strutta organizzativa, riusciranno a soddisfare pienamente le differenti necessità degli schemi adottati, senza impattare eccessivamente sui costi di gestione di un siffatto Modello.

Vuoi rimanere aggiornato su tutte le ultime novità in materia Privacy?

Iscriviti a Privacy Revolution.

Cliccando su ISCRIVITI esprimi il tuo consenso a ricevere comunicazioni e aggiornamenti su PrivacyRevolution da parte di Sistemi H.S. S.p.A., Titolare del trattamento.

Condividi su twitter
Condividi su linkedin
Condividi su email

Informativa al trattamento dei dati ex art. 13 Regolamento UE 2016/679

La informiamo che, ai sensi del Regolamento UE 2016/679 (infra: “Regolamento”), i Suoi Dati Personali saranno trattati da Sistemi HS S.p.A. con sede Via Torino 176 10093 Collegno (TO), in qualità di titolare del trattamento (“Titolare”).
Il Responsabile della Protezione dei Dati (“DPO”) è raggiungibile ai seguenti indirizzi: dpo@sistemihs.it  – sistemihsdpo@cert.unonet.it
Il Titolare tratterà i Suoi dati personali per la finalità di gestione delle comunicazioni e delle newsletter relative alla community PrivacyRevolution.
La base giuridica del trattamento è riferita all’espressione del consenso da parte dell’interessato al trattamento dei propri dati personali (art. 6(1)(a) del Regolamento).
Il conferimento dei Suoi Dati Personali per la finalità di cui sopra è facoltativo; non è prevista alcuna conseguenza in caso di un Suo rifiuto. In mancanza dei dati però, non sarà possibile per il Titolare inviarle alcuna comunicazione.
L’interessato ha la possibilità di revocare il consenso prestato e di opporsi a tale trattamento in ogni momento in maniera agevole e gratuita, anche scrivendo al Servizio Privacy presso il Titolare all’indirizzo: compliance@sistemiuno.it
I Suoi dati personali potranno essere condivisi con persone fisiche autorizzate dalla Titolare al trattamento di dati personali previa sottoscrizione di un accordo di riservatezza (es. dipendenti e amministratori di sistema); soggetti terzi coinvolti nella gestione delle attività legate alla predetta finalità, alcuni dei quali agiscono in qualità di responsabili del trattamento (l’elenco completo ed aggiornato è disponibile e consultabile previa richiesta a compliance@sistemiuno.it); soggetti, enti o autorità a cui sia obbligatorio comunicare i suoi dati personali in forza di disposizioni di legge o di ordini delle autorità.
Il Titolare non trasferisce i Suoi Dati Personali al di fuori dello Spazio Economico Europeo.
I suoi Dati Personali saranno conservati fino alla revoca del consenso prestato. È fatto salvo in ogni caso l’ulteriore conservazione prevista dalla normativa applicabile tra cui quella prevista dall’art. 2946 cod. civ. Maggiori informazioni sono disponibili presso il Titolare
Lei ha diritto di chiedere al Titolare, in qualunque momento, l’accesso ai Suoi Dati, la rettifica o la cancellazione degli stessi o di richiedere la limitazione del trattamento, o di ottenere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati che La riguardano nei casi previsti dall’art. 20 del Regolamento.
È possibile formulare una richiesta di opposizione al trattamento dei Suoi dati ex articolo 21 del GDPR nella quale dare evidenza delle ragioni che giustifichino l’opposizione: il Titolare si riserva di valutare l’istanza, che non verrebbe accettata in caso di esistenza di motivi legittimi cogenti per procedere al trattamento che prevalgano sui tuoi interessi, diritti e libertà.
In qualsiasi momento potrà revocare ex art. 7 del Regolamento, il consenso già prestato, senza che ciò pregiudichi la liceità del trattamento effettuato anteriormente alla revoca del consenso.
Le richieste vanno rivolte per iscritto al Titolare o al DPO ai recapiti sopra indicati. In ogni caso Lei ha sempre diritto di proporre reclamo all’autorità di controllo competente (Garante per la Protezione dei Dati Personali), ai sensi dell’art. 77 del Regolamento, qualora ritenga che il trattamento dei Suoi dati sia contrario alla normativa in vigore.