GUIDA NORMATIVA Show
Il GDPR non contiene norme precettive ma un “framework normativo” che fissa solo principi e requisiti, senza indicare le modalità per realizzarli/soddisfarli, lasciando ad ogni organizzazione la responsabilità di allestire una politica interna volta a integrare i principi della protezione dei dati personali nei processi aziendali. Ecco come 25 Mar 2022
Ogni impresa che utilizza dati personali, determinando finalità e mezzi del trattamento, ha il ruolo di “titolare del trattamento” e come tale ha la responsabilità generale per qualsiasi trattamento di dati personali che effettui direttamente o che altri (i.e. i fornitori) effettuino per suo conto[1]. Questa responsabilità non può essere trasferita o decentrata a un’altra organizzazione e deve quindi essere gestita con la massima attenzione, adottando un sistema di regole e pratiche – la c.d. politica interna – volto a integrare i principi della protezione dei dati personali nei processi aziendali. La politica interna privacy di un’impresa è quindi una sorta di “Statuto della Privacy” all’interno dell’organizzazione, i.e. un documento che contiene le regole e le pratiche di compliance[2]. I contenuti che una buona politica interna del titolare deve avere, sono in parte indicati nell’art. 39, paragrafo 1 lettera b) del GDPR che, nel fissare i compiti del DPO, chiarisce che questi è chiamato a sorvegliare non solo l’osservanza della normativa privacy ma anche delle politiche del titolare del trattamento in materia di protezione dei dati personali, compresi “l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo”. Il GDPR chiarisce quindi che la politica interna deve ripartire la citata responsabilità generale dell’impresa “titolare del trattamento”, tra tutti i lavoratori dipendenti attraverso l’attribuzione di precisi compiti, funzioni e correlative responsabilità, rendendo contestualmente tutti gli stessi lavoratori, edotti dell’importanza dei principi e delle regole privacy. Proponiamo di seguito una specifica “tassonomia” per una buona politica interna.
Le finalità della politica interna privacyLa politica interna deve avere una finalità soprattutto etica; i.e. deve essere essenzialmente volta a proteggere le persone fisiche e a garantire i loro diritti e le loro libertà fondamentali, attraverso l’integrazione dei principi della protezione dei dati personali nei processi aziendali, in modo da assicurare un livello di protezione e sicurezza dei dati personali, trattati in ambito aziendale, adeguato ai rischi connessi ai trattamenti. GUIDA PRATICA contro il Phishing: scopri come tutelare la tua azienda! Ulteriore finalità, non meno importante, è la realizzazione della conformità normativa, della sicurezza dei processi aziendali e della competitività dell’impresa attraverso la definizione di apposite procedure. Ambito di applicazione e riferimenti normativiIn questa sezione della politica interna è necessario:
L’organigramma ed il funzionigramma privacyLa politica interna deve inoltre riportare la “fotografia” della struttura organizzativa aziendale e contenere quindi l’organigramma ed il funzionigramma dell’impresa che indichi precisamente “chi” “fa che cosa” i.e. ruoli e responsabilità di tutto il personale dipendente. L’archetipo di un ”organigramma privacy” disegnato dal GDPR prevede 5 figure coinvolte nel trattamento di dati personali:
Ad integrazione di quanto previsto dal GDPR, l’art. 2 quaterdecies del “Codice Privacy novellato”, al fine di garantire, nelle organizzazioni complesse, un’effettiva governance del sistema di protezione dei dati, sancisce che il titolare del trattamento nell’ambito del proprio assetto organizzativo:
Facendo leva su tale norma, l’impresa titolare del trattamento può quindi disegnare nuovi “ruoli privacy” all’interno dell’organizzazione, attagliandoli alle specifiche esigenze di sviluppo dei processi aziendali. Si possono prendere come utile riferimento i seguenti profili professionali tipizzati all’interno dello standard nazionale UNI 11697:2017[3]:
Sensibilizzazione e formazioneSu specifica indicazione del GDPR[4], la politica interna deve contenere una sezione relativa alla sensibilizzazione ed alla formazione del personale dipendente; si tratta di un’importantissima misura organizzativa che crea consapevolezza e sensibilità diffuse. La formazione, o meglio l’istruzione, è specificamente prescritta sia dall’art. 29 che dall’art. 32 paragrafo 4 del GDPR e, non a caso, l’art. 32 GDPR fissa le regole per la sicurezza dei trattamenti. Senza un’adeguata formazione del personale operante, qualsiasi misura tecnica od organizzativa è destinata a non avere efficacia. La formazione è quindi “fondamentale” nel senso letterale del termine: i.e. le attività di formazione sono le “fondamenta” di un sistema privacy. La politica interna privacy dovrebbe indicare almeno:
I principi “privacy”: fondamento e vincolo dei trattamenti datiLa politica interna privacy dovrebbe anche necessariamente chiarire che tutti i trattamenti di dati personali eseguiti nell’ambito dell’impresa, durate il relativo “ciclo di vita” – cioè dalla progettazione fino alla cessazione dei processi aziendali – devono essere sempre allineati ai seguenti principi fondamentali fissati dall’art. 5 del GDPR:
Deve necessariamente essere precisato che ogni trattamento di dati personali è legittimo solo se e nella misura in cui sia pienamente conforme a detti principi fondamentali. Ecco perché, una volta avviato il trattamento, l’impresa è tenuta a dare attuazione efficace e costante a detti principi, al fine di tutelare i diritti e le libertà fondamentali, tenendosi aggiornata sullo stato dell’arte e riesaminando il livello di rischio. Infatti, la natura, l’ambito di applicazione e il contesto delle operazioni di trattamento, nonché il rischio possono mutare nel corso del trattamento, comportando per l’impresa l’obbligo di verificare tali operazioni per mezzo di valutazioni e riesami periodici dell’efficacia delle misure e delle garanzie che ha adottato. Registro delle attività di trattamentoIl registro dei trattamenti previsto dall’art. 30 del GDPR ha la duplice funzione di strumento di accountability e strumento di monitoraggio delle attività di trattamento sia per il titolare che per l’Autorità Garante. La politica interna privacy dovrebbe:
Sicurezza dei trattamentiLa politica interna privacy dovrebbe prevedere anche le misure tecniche e organizzative adeguate da mettere in atto per garantire un livello di sicurezza adeguato al rischio. L’art. 32 del GDPR precisa che tali misure devono comprendere, tra l’altro:
In concreto, in linea con le indicazioni recentemente offerte dalla norma ISO 27002:2022, una buona politica interna dovrebbe contenere raccomandazioni, prescrizioni e regole che garantiscano almeno le seguenti capacità operative:
Politiche e procedure. attribuzione di ruoli e responsabilitàLa politica interna privacy dovrà, inoltre, necessariamente contenere la descrizione delle procedure ritenute necessarie allo sviluppo di processi aziendali che siano perfettamente in linea con gli obiettivi di business e contestualmente con i principi di protezione dei dati personali. Dovrebbero essere definite specifiche procedure almeno per la gestione delle richieste di esercizio dei diritti privacy e dei data breach, verificandone la fattibilità, la sostenibilità e l’efficienza. Ogni procedura deve necessariamente prevedere specifici ruoli e responsabilità nell’ambito del contesto interno. Riesame e aggiornamentoLa politica interna attagliata (tailored) all’organizzazione deve, infine, prevedere l’esecuzione sistematica e periodica di revisione ed aggiornamento che devono diventare parte integrante della cultura aziendale al fine di garantire che le regole, le procedure ed i processi aziendali siano sempre, permanentemente, allineati agli obiettivi di business ed al GDPR. NOTE
DATI: fonte imprescindibile per le aziende! PROTEGGILI e mantienili CONFORMI alle regole @RIPRODUZIONE RISERVATA
Speciale PNRR Tutti Incentivi PA Sostemibilità Analisi Formazione Salute digitale Sicurezza Sostenibilità Digital Economy filter_list Filtra per topic Incentivi PA Sostemibilità Analisi Formazione Salute digitale Sicurezza Sostenibilità Digital Economy chevron_left chevron_right
Articolo 1 di 4 Chi ha diritto alla protezione dei dati personali?1. Ogni individuo ha diritto alla protezione dei dati di carattere personale che lo riguardano. 2. Tali dati devono essere trattati secondo il principio di lealtà, per finalità determinate e in base al consenso della persona interessata o a un altro fondamento legittimo previsto dalla legge.
Cosa prevede l'articolo 13 del regolamento europeo?Il titolare del trattamento, qualora intenda trattare i dati personali per una finalità diversa da quella per cui essi sono stati raccolti, dovrebbe fornire all'interessato, prima di tale ulteriore trattamento, informazioni in merito a tale finalità diversa e altre informazioni necessarie.
Qual è il nuovo quadro normativo in materia di protezione dei dati personali?La normativa vigente più rilevante in materia di protezione dei dati personali è il c.d. Codice della privacy (d. lgs. n. 196 del 2003), che è stato, nella legislatura in corso, profondamente modificato ed integrato dal decreto legislativo n.
Cosa prevede l'articolo 5 GDPR?I dati personali dovrebbero essere trattati in modo da garantirne un'adeguata sicurezza e riservatezza, anche per impedire l'accesso o l'utilizzo non autorizzato dei dati personali e delle attrezzature impiegate per il trattamento.
|