L’organigramma privacy e i ruoli per una efficace governance

L’organigramma privacy e i ruoli per una efficace governance

Troppo spesso si confondono due concetti che non sono affatto sinonimici: l’Organigramma Privacy ed il Modello di Governance. L’uno si riferisce alla schematizzazione di una struttura organizzativa; l’altro invece indica quell’insieme di norme, leggi e regolamenti che disciplinano la gestione e la direzione di un’attività. Per un’efficace compliance al GDPR occorre che entrambi siano correttamente analizzati ed indirizzati costituendo la “spina dorsale” del Modello Organizzativo Privacy cd MOP.

 Chiara Ponti

INDICE:

Quid prodest? Efficacia dell’organigramma privacy

L’importanza di avere un organigramma privacy risiede anzitutto nella necessità di soddisfare, concretamente, il principio di accountability.

Si tratta dunque del primo atto dal quale è possibile, con tutta evidenza, dimostrare la tenuta dell’accountability nonché ricavare quali sono gli attori protagonisti in materia di protezione dati personali.

Non solo, ma trattasi anche dei primitivi adempimenti necessari per raggiungere la compliance al GDPR.

Non a caso, infatti, è richiesto di definire sempre, con chiarezza, i ruoli privacy e le responsabilità dei soggetti “attivi” nell’iter di trattamento dei dati personali.

La definizione di “ruoli e responsabilità” prevede l’individuazione di un Responsabile il quale si relazioni direttamente con la Direzione, ed il resto dell’Organizzazione idoneo oltretutto a rappresentare la medesima in sede di eventuale verifica.[1]

[1] Per completezza, esistono poi una serie di responsabili, legati ai processi ed agli asset.

Conosci GoPrivacy?

Conosci GoPrivacy?

Un gestionale come GoPrivacy soddisfa con palmare evidenza un aspetto così importante dal momento che, da un lato consente lo sviluppo di un organigramma privacy completo (corredato altresì di deleghe per le funzioni apicali non operative) e dall’altro richiama comodamente gli elementi dell’Organigramma nei registri ed in ogni altra attività/contenuto relativamente allo specifico contesto

Modello organizzativo privacy GoPrivacy 3
Figura 1 Estratto da GoPrivacy con esempio di organigramma
Struttura area di riferimento modello organizzativo Privacy
Figura 2 Estratto da GoPrivacy esempio di collegamento dinamico con l’Organigramma

In fieri: normativa ed aspettative

In osservanza alle prescrizioni contenute all’interno della normativa vigente in materia di protezione dei dati personali (Reg. UE 2016/679 – GDPR; D.Lgs. 196/2003 come riformato dal D. lgs 101/2018), l’Organizzazione vieppiù se complessa, è chiamata a stabilire una gerarchia. 

Al fine di illustrarne una possibile attuazione, riportiamo una nostra proposta[1] che utilizza “gradi marinareschi” al fine di evocare una struttura gerarchica piramidale:

  • Privacy Admiral, con funzioni di responsabilità e coordinamento;
  • Privacy Captain, con funzioni di coordinamento e controllo;
  • Privacy Marshall, con funzioni di controllo e operative.

Il DPO che nel nostro immaginario corpus organizzativo “militare” assume (seppure il grado non gli renda giustizia) il ruolo di “sergente istruttore”[2], ha il ruolo di supervisionare le attività ed intervenire identificando e correggendo eventuali comportamenti anomali.

Il Privacy Admiral, essendo il più alto in grado, detiene la responsabilità della compliance, e si avvale delle figure in seguito dettagliate per essere supportato in codesta attività.

I Privacy Captain, detengono poteri di organizzazione, gestione e controllo, in piena aderenza all’art. 2-quaterdecies comma I del riformato Codice privacy, conferendo ai medesimi giuste deleghe circa l’esercizio delle funzioni di supervisione, coordinamento e controllo delle attività di trattamento dei dati personali svolte all’interno dell’Organizzazione e dei correlati adempimenti previsti dal GDPR nell’ambito di tali attività (ivi incluso il potere di supervisionare l’attuazione dei Provvedimenti e delle misure tecniche ed organizzative necessarie a norma degli artt. 24 e 32 del GDPR).

I Privacy Marshall, nominati ai sensi e per gli effetti di cui all’art. 29. GDPR, detengono invece le deleghe relative all’esercizio di funzioni di gestione organizzativa ed operativa delle attività di Trattamento dei dati personali svolte nell’ambito dell’area di competenza e dei correlati adempimenti previsti dal GDPR, al fine di permettere ai Privacy Captain l’esercizio delle funzioni di coordinamento, direzione e controllo, il tutto finalizzato a consentire che il Titolare del trattamento ossia la Direzione sia in grado di dimostrare che il trattamento dei dati personali sia effettuato in modo conforme alla normativa vigente.

[1] Per ulteriori approfondimenti, V. «IL SISTEMA INTEGRATO PER LA SICUREZZA DELLE INFORMAZIONI E LA DATA PROTECTION. Guida operativa all’efficace integrazione dei due mondi con l’ausilio della ISO 27701» Ed. EPC, 2021 C. Ponti, R. Castroreale.

[2] Nello stile del famoso Sergente Hartman nel memorabile film “Full Metal Jacket

i ruoli aziendali della Privacy
Figura 3 Piramide dei ruoli privacy

Modus operandi: come costruire le nomine privacy, i punti essenziali


Le nomine facili e funzionali

Le nomine facili e funzionali

GoPrivacy offre la possibilità di autoprodurre tutte le necessarie nomine, trai cui quelle che verranno riportate nel prosieguo della trattazione.
I citati soggetti appartengono alla categoria dei "Designati" ex art. 2 quaterdecies del riformato Cod. Privacy, come detto. Questi, in pratica, sono un “gradino sopra” gli Autorizzati (semplici), aventi specifiche responsabilità in ambito di trattamento dati personali.

Per chiarezza espositiva, di seguito forniamo — rispettivamente per le due figure — gli elementi di base per costruire le nomine ex art. 2 quaterdecies cit., ben potendo le stesse costituire, nei punti essenziali, utili tracce di modelli di nomina.

Esempio di estratto di nomina per Privacy Captain (Autorizzati di 1°Livello)

Di seguito un estratto di nomina che potrebbe essere adoperato ed emulato, con le dovute personalizzazioni del caso legate al contesto, per l’atto di nomina di un ipotetico Autorizzato di 1°Livello.

I Privacy Captain nell’ambito dei poteri agli stessi attribuiti di cui al precedente punto, potranno avere i seguenti compiti e funzioni:

  • Farsi parti attive ai fini dell’effettiva adozione e rispetto delle politiche, procedure e linee guida adottate dall’organizzazione.
  • Contribuire efficacemente alla realizzazione del modello di compliance GDPR, definito, coordinato, supervisionato e adottato all’interno dall’intera organizzazione;
  • Monitorare le attività di gestione e adempimento degli obblighi previsti dal GDPR sulla base delle policy dell’organizzazione in materia.
  • Supervisionare:
  1. alla rilevazione ed aggiornamento delle informazioni relative alle attività di trattamento di dati personali svolte nell’area di competenza, in qualità di titolare o di responsabile del trattamento, sulla base delle procedure dell’organizzazione, anche al fine della costituzione e tenuta del registro dei trattamenti ex art. 30 del GDPR e dello svolgimento delle correlate analisi dei rischi;

     

  2. alla procedura di privacy by Design attivata dai Privacy Marshall in caso di nuovo trattamento;

     

  3. alla segnalazione o impulso da parte dei Privacy Marshall (a loro volta nominati a norma dell’art. 29 GDPR) all’eventuale avvio della procedura di valutazione d’impatto sulla protezione dei dati personali (art. 35 del GDPR) accertandosi che sia richiesto, se del caso, il supporto consultivo del DPO;

     

  • Contribuire attivamente alla definizione e cura delle procedure dell’Organizzazione nonché della modulistica riguardante i principali adempimenti privacy;

     

  • Provvedere alla raccolta delle informazioni ed alle altre attività necessarie (gestione, disamina, apprezzamento) per il riscontro alle richieste di esercizio dei diritti avanzate dagli interessati, nonché in relazione ad eventuali reclami e a richieste di informazioni o accertamenti dell’autorità, coadiuvando il DPO;

     

  • Curare l’osservanza, per quanto di competenza, delle misure organizzative, tecniche e di sicurezza dell’organizzazione, in riferimento sia agli strumenti e sistemi in uso, sia agli archivi e documenti cartacei direttamente gestiti – in tale ultimo caso, anche segnalando eventuali casi di violazione della sicurezza dei dati personali (c.d. data breach);

     

  • Individuare unitamente all’area risorse umane, i Privacy Marshall e tutte le persone autorizzate al trattamento dei dati personali appartenenti all’area di competenza, sottoscrivendo le relative “Nomine” ai sensi e per gli effetti di cui all’art. 29 del GDPR.

     

  • Individuare, congiuntamente agli altri Privacy Captain, le aree di competenza dell’organizzazione, di dipendenti/collaboratori autorizzati al trattamento dei dati personali e degli ambiti di trattamento loro consentiti, collaborando alla definizione delle garanzie di riservatezza e delle documentate istruzioni in materia;

     

  • Organizzare sessioni formative periodiche volte ad un aggiornamento costante e continuo (art. 32) sulla base delle esigenze delle Strutture.


Esempio di estratto di nomina per Privacy Marshall (Autorizzati di 2°Livello)

Di seguito un estratto di nomina che potrebbe essere adoperato ed emulato, con le dovute personalizzazioni del caso legate al contesto, per l’atto di nomina di un ipotetico Autorizzato di 1°Livello

I Privacy Marshall, oltre al rispetto delle istruzioni impartite dal Titolare del trattamento, nonché delle policy, procedure e linee guida adottate dall’Organizzazione, avranno quindi i seguenti compiti (elenco indicativo non tassativo):

 

  • Informare tempestivamente il Privacy Captain (e di conseguenza il titolare e/o responsabile) qualora ritenga vi sia concreto rischio del verificarsi di un pregiudizio per uno o più interessati;

     

  • Assicurarsi che venga dato seguito alle richieste degli interessati nel merito dell’esercizio dei propri diritti privacy ai sensi degli artt. 15 e ss. del GDPR, informando tempestivamente il titolare e/o il responsabile nonché i Privacy Captain;

     

  • Fornire supporto ai Privacy Captain nella predisposizione di tutti i documenti di pertinenza privacy (es. informative e contratti a responsabile del trattamento ex art. 28 del GDPR, ecc.) e successivamente promuoverne l’utilizzo nei confronti delle persone autorizzate che operano nell’area di competenza;

     

  • Assicurare che le informative di cui agli artt. 13 e 14 del Regolamento, vengano rese agli interessati che, ove previsto, venga raccolto il consenso;

     

  • Attivare la procedura di privacy by design predisposta in caso di nuovo trattamento;

     

  • Farsi parte attiva nell’aggiornamento del Registro delle attività di trattamento di cui all’art. 30 del GDPR segnalando eventuali anomalie, discrepanze, eventuali nuovi trattamenti di dati;

     

  • Adottare, nel trattamento dei dati, le misure di sicurezza indicate dal GDPR unitamente a quelle indicate dal titolare e/o responsabile e/o RPD;

     

  • Comunicare per iscritto al titolare e/o responsabile nonché ai Privacy Captain ogni fatto e circostanza rilevante o straordinaria, occorsa nel trattamento dei dati eseguito all’interno della propria area;

     

  • Prestare ampia e completa collaborazione al titolare e/o responsabile e/o al DPO e ai Privacy Captain al fine di compiere quanto previsto dagli adempimenti imposti dalla normativa vigente in materia di trattamento di dati personali;

     

  • Dare comunicazione tempestiva al titolare e/o al responsabile e ai Privacy Captain di eventuali violazioni, poste in essere da altri Privacy Marshall in ordine alle istruzioni ricevute, ovvero nei confronti della normativa vigente, nonché di misure di sicurezza.

     

  • Provvedere a monitorare le caselle PEC Privacy dell’organizzazione, inserendo eventuali messaggi ivi pervenuti che ritenga rilevanti ai fini privacy nel sistema di gestione interna delle richieste;

     

  • Contribuire attivamente alla definizione delle clausole e della modulistica contrattuale concernente i principali adempimenti privacy (es.: informativa e, ove necessario, consenso) di competenza delle aree dell’organizzazione, impartendo al personale autorizzato le necessarie od opportune istruzioni, anche aggiuntive rispetto a quelle dell’organizzazione, controllandone l’attuazione;

     

  • Provvedere o collaborare con le aree competenti dell’organizzazione alla gestione dei rapporti con i fornitori esterni ed i terzi (persone fisiche o giuridiche, pubbliche e private) a cui siano affidati trattamenti o comunicati dati personali di titolarità, stipulando con i medesimi, quali responsabili del trattamento ai sensi dell’art. 28 del Regolamento, apposito contratto o altro atto giuridico vincolante che contempli, almeno, gli obblighi di cui all’art. 28.3 del GDPR;

     

  • Provvedere o collaborare alla gestione dei rapporti con i clienti (persone fisiche o giuridiche, pubbliche e private) i quali affidino attività che presuppongono trattamenti di dati o comunichino dati personali di titolarità dei medesimi. In particolare, assicurandosi che vengano stipulati appositi contratti o altri atti giuridici vincolanti, utili alla nomina a responsabili del trattamento ai sensi dell’art. 28 del GDPR;

     

  • Provvedere o collaborare con le Aree competenti alla gestione dei rapporti con i fornitori esterni o terzi, nei casi l’organizzazione agiscano in qualità di responsabili del Trattamento, e ricorrano ad un altro responsabile (c.d. “Sub-responsabile”) previa autorizzazione scritta (specifica o generale) da parte del titolare del trattamento.

Riflessioni conclusive: il vero valore aggiunto dell’organigramma privacy

 

Opinando di aver dimostrato tangibilmente l’importanza di avere l’organigramma privacy, in conclusione a onor del vero, non dimentichiamoci che la massima funzionalità dello stesso, trova attuazione nei modelli di sistemi Integrati vale a dire in tutti quegli ambiti dove si vanno a “fondere” quelli volontari di certificazione (ISO 9001, ISO 27001, ecc.) con il MOP Privacy.

In questo contesto difatti, le sinergie offerte dalla strutta organizzativa, riusciranno a soddisfare pienamente le differenti necessità degli schemi adottati, senza impattare eccessivamente sui costi di gestione di un siffatto Modello.

Torna su