L’organigramma privacy e i ruoli per una efficace governance

Per chiarezza espositiva, di seguito forniamo — rispettivamente per le due figure — gli elementi di base per costruire le nomine ex art. 2 quaterdecies cit., ben potendo le stesse costituire, nei punti essenziali, utili tracce di modelli di nomina.

Esempio di estratto di nomina per Privacy Captain (Autorizzati di 1°Livello)

Di seguito un estratto di nomina che potrebbe essere adoperato ed emulato, con le dovute personalizzazioni del caso legate al contesto, per l’atto di nomina di un ipotetico Autorizzato di 1°Livello.

I Privacy Captain nell’ambito dei poteri agli stessi attribuiti di cui al precedente punto, potranno avere i seguenti compiti e funzioni:

• Farsi parti attive ai fini dell’effettiva adozione e rispetto delle politiche, procedure e linee guida adottate dall’organizzazione.
• Contribuire efficacemente alla realizzazione del modello di compliance GDPR, definito, coordinato, supervisionato e adottato all’interno dall’intera organizzazione;
• Monitorare le attività di gestione e adempimento degli obblighi previsti dal GDPR sulla base delle policy dell’organizzazione in materia.
• Supervisionare:

1. alla rilevazione ed aggiornamento delle informazioni relative alle attività di trattamento di dati personali svolte nell’area di competenza, in qualità di titolare o di responsabile del trattamento, sulla base delle procedure dell’organizzazione, anche al fine della costituzione e tenuta del registro dei trattamenti ex art. 30 del GDPR e dello svolgimento delle correlate analisi dei rischi;

    

2. alla procedura di privacy by Design attivata dai Privacy Marshall in caso di nuovo trattamento;

    

3. alla segnalazione o impulso da parte dei Privacy Marshall (a loro volta nominati a norma dell’art. 29 GDPR) all’eventuale avvio della procedura di valutazione d’impatto sulla protezione dei dati personali (art. 35 del GDPR) accertandosi che sia richiesto, se del caso, il supporto consultivo del DPO;

    

• Contribuire attivamente alla definizione e cura delle procedure dell’Organizzazione nonché della modulistica riguardante i principali adempimenti privacy;

   

• Provvedere alla raccolta delle informazioni ed alle altre attività necessarie (gestione, disamina, apprezzamento) per il riscontro alle richieste di esercizio dei diritti avanzate dagli interessati, nonché in relazione ad eventuali reclami e a richieste di informazioni o accertamenti dell’autorità, coadiuvando il DPO;

   

• Curare l’osservanza, per quanto di competenza, delle misure organizzative, tecniche e di sicurezza dell’organizzazione, in riferimento sia agli strumenti e sistemi in uso, sia agli archivi e documenti cartacei direttamente gestiti – in tale ultimo caso, anche segnalando eventuali casi di violazione della sicurezza dei dati personali (c.d. data breach);

   

• Individuare unitamente all’area risorse umane, i Privacy Marshall e tutte le persone autorizzate al trattamento dei dati personali appartenenti all’area di competenza, sottoscrivendo le relative “Nomine” ai sensi e per gli effetti di cui all’art. 29 del GDPR.

   

• Individuare, congiuntamente agli altri Privacy Captain, le aree di competenza dell’organizzazione, di dipendenti/collaboratori autorizzati al trattamento dei dati personali e degli ambiti di trattamento loro consentiti, collaborando alla definizione delle garanzie di riservatezza e delle documentate istruzioni in materia;

   

• Organizzare sessioni formative periodiche volte ad un aggiornamento costante e continuo (art. 32) sulla base delle esigenze delle Strutture.

Esempio di estratto di nomina per Privacy Marshall (Autorizzati di 2°Livello)

Di seguito un estratto di nomina che potrebbe essere adoperato ed emulato, con le dovute personalizzazioni del caso legate al contesto, per l’atto di nomina di un ipotetico Autorizzato di 1°Livello

I Privacy Marshall, oltre al rispetto delle istruzioni impartite dal Titolare del trattamento, nonché delle policy, procedure e linee guida adottate dall’Organizzazione, avranno quindi i seguenti compiti (elenco indicativo non tassativo):

• Informare tempestivamente il Privacy Captain (e di conseguenza il titolare e/o responsabile) qualora ritenga vi sia concreto rischio del verificarsi di un pregiudizio per uno o più interessati;

   

• Assicurarsi che venga dato seguito alle richieste degli interessati nel merito dell’esercizio dei propri diritti privacy ai sensi degli artt. 15 e ss. del GDPR, informando tempestivamente il titolare e/o il responsabile nonché i Privacy Captain;

   

• Fornire supporto ai Privacy Captain nella predisposizione di tutti i documenti di pertinenza privacy (es. informative e contratti a responsabile del trattamento ex art. 28 del GDPR, ecc.) e successivamente promuoverne l’utilizzo nei confronti delle persone autorizzate che operano nell’area di competenza;

   

• Assicurare che le informative di cui agli artt. 13 e 14 del Regolamento, vengano rese agli interessati che, ove previsto, venga raccolto il consenso;

   

• Attivare la procedura di privacy by design predisposta in caso di nuovo trattamento;

   

• Farsi parte attiva nell’aggiornamento del Registro delle attività di trattamento di cui all’art. 30 del GDPR segnalando eventuali anomalie, discrepanze, eventuali nuovi trattamenti di dati;

   

• Adottare, nel trattamento dei dati, le misure di sicurezza indicate dal GDPR unitamente a quelle indicate dal titolare e/o responsabile e/o RPD;

   

• Comunicare per iscritto al titolare e/o responsabile nonché ai Privacy Captain ogni fatto e circostanza rilevante o straordinaria, occorsa nel trattamento dei dati eseguito all’interno della propria area;

   

• Prestare ampia e completa collaborazione al titolare e/o responsabile e/o al DPO e ai Privacy Captain al fine di compiere quanto previsto dagli adempimenti imposti dalla normativa vigente in materia di trattamento di dati personali;

   

• Dare comunicazione tempestiva al titolare e/o al responsabile e ai Privacy Captain di eventuali violazioni, poste in essere da altri Privacy Marshall in ordine alle istruzioni ricevute, ovvero nei confronti della normativa vigente, nonché di misure di sicurezza.

   

• Provvedere a monitorare le caselle PEC Privacy dell’organizzazione, inserendo eventuali messaggi ivi pervenuti che ritenga rilevanti ai fini privacy nel sistema di gestione interna delle richieste;

   

• Contribuire attivamente alla definizione delle clausole e della modulistica contrattuale concernente i principali adempimenti privacy (es.: informativa e, ove necessario, consenso) di competenza delle aree dell’organizzazione, impartendo al personale autorizzato le necessarie od opportune istruzioni, anche aggiuntive rispetto a quelle dell’organizzazione, controllandone l’attuazione;

   

• Provvedere o collaborare con le aree competenti dell’organizzazione alla gestione dei rapporti con i fornitori esterni ed i terzi (persone fisiche o giuridiche, pubbliche e private) a cui siano affidati trattamenti o comunicati dati personali di titolarità, stipulando con i medesimi, quali responsabili del trattamento ai sensi dell’art. 28 del Regolamento, apposito contratto o altro atto giuridico vincolante che contempli, almeno, gli obblighi di cui all’art. 28.3 del GDPR;

   

• Provvedere o collaborare alla gestione dei rapporti con i clienti (persone fisiche o giuridiche, pubbliche e private) i quali affidino attività che presuppongono trattamenti di dati o comunichino dati personali di titolarità dei medesimi. In particolare, assicurandosi che vengano stipulati appositi contratti o altri atti giuridici vincolanti, utili alla nomina a responsabili del trattamento ai sensi dell’art. 28 del GDPR;

   

• Provvedere o collaborare con le Aree competenti alla gestione dei rapporti con i fornitori esterni o terzi, nei casi l’organizzazione agiscano in qualità di responsabili del Trattamento, e ricorrano ad un altro responsabile (c.d. “Sub-responsabile”) previa autorizzazione scritta (specifica o generale) da parte del titolare del trattamento.