Il rispetto del GDPR comporta la necessità per le aziende di documentare la compliance agli obblighi normativi nonché agli standard di sicurezza. Scopriamo insieme cosa si intende per modello organizzativo privacy.

L’adeguamento al GDPR comporta l’adozione di misure adeguate ad assicurare che i trattamenti dei dati personali da parte dell’azienda siano conformi ai principi fondamentali in esso contenuti, così come delineati dall’articolo 5 GDPR.

Nel contempo, il Regolamento impone al Titolare del trattamento anche l’obbligo di aggiornare le predette misure in modo tale che siano sempre conformi a tali principi.

L’articolo 5, al secondo paragrafo prevede che “Il titolare del trattamento è competente per il rispetto del paragrafo 1 e in grado di comprovarlo («responsabilizzazione»)”. A questa disposizione si affianca il Considerando 74, a sua volta ripreso dall’articolo 24 GDPR, secondo il quale: “[…] il titolare del trattamento è tenuto a mettere in atto misure adeguate ed efficaci ed essere in grado di dimostrare la conformità delle attività di trattamento con il presente regolamento, compresa l’efficacia delle misure […]”; tale capacità di comprovare il rispetto dei requisiti stabiliti dal Regolamento deve essere costantemente assicurata da parte del Titolare.

Viene quindi richiamato espressamente il principio di accountability (responsabilizzazione), principio cardine del GDPR: il Legislatore europeo impone al Titolare del trattamento di predisporre e adottare misure tecniche e organizzative ritenute adeguate per gestire le attività trattamento in modo da tutelare i diritti e le libertà degli interessati, in conformità con i principi del GDPR e, soprattutto, di essere in grado di dimostrare concretamente in ogni momento l’efficacia di tali misure.

Il GDPR nulla però dice sulle modalità e sui mezzi attraverso i quali poter dimostrare le iniziative assunte dal titolare: la normativa infatti si limita a richiamare il principio di responsabilizzazione al fine di evitare che nella prassi il rispetto degli adempimenti eventualmente specificati nel Regolamento si riducesse a mera formalità.

L’assenza di un modello di riferimento permette al titolare del trattamento un’ampia libertà, dandogli la possibilità di assumere proattivamente le misure di protezione dei dati personali ritenute più adeguate per il trattamento effettivamente operato.

Come individuare il perimetro attorno al quale definire il proprio modello organizzativo privacy?

Il titolare deve dar conto e dimostrare il proprio operato a tutela della protezione dei dati personali per tutta la durata dei relativi trattamenti.

Per questa ragione diventa fondamentale adottare un modello organizzativo che permetta di

• analizzare
• pianificare
• strutturare

le fasi di adeguamento al Regolamento Europeo, rispetto alle specifiche  modalità di trattamento dei dati personali operati dal titolare, al fine di garantire e/o comprovare documentalmente:

• la conformità dei trattamenti al GDPR (Reg UE 2016/679);
• l’efficacia delle migliori misure scelte e adottate nelle attività di trattamento;
• la continuità nel tempo del percorso di adeguamento intrapreso, anche a fronte di eventuali variazioni dell’assetto organizzativo aziendale;
• i rapporti con le autorità di controllo mediante un percorso di compliance strutturato e definito che consenta l’efficacia del controllo stesso.

In questo senso, il modello organizzativo privacy rappresenta uno strumento pratico che consente al titolare del trattamento, a seconda della sua organizzazione, una gestione responsabile ed autonoma dei più adeguati adempimenti in materia di protezione dei dati.

Modello organizzativo privacy versus Modello organizzativo 231

A differenza del modello di organizzazione, gestione e controllo ex D.Lgs. 231/2001 riguardante la responsabilità amministrativa degli enti, il Regolamento Europeo 679/2016 non prevede un contenuto minimo inderogabile.

Ciò nonostante, è possibile trovare tra i due modelli dei punti di contatto con riferimento ad alcune prassi operative:

• individuare le attività di trattamento di dati personali sensibili e/o più a rischio di violazioni e procedere a una valutazione di impatto sul trattamento dei dati quando un trattamento presenta rischi elevati per i diritti e le libertà delle persone fisiche (art. 35 GDPR – cfr. art. 6, comma 2, lett. A, D.Lgs. 231/2001);
• prevedere e programmare misure di formazione per assicurare che coloro che agiscono per conto del titolare (o del responsabile) siano adeguatamente istruiti e formatisulla normativa vigente in materia di privacy (art. 32 par. 4 GDPR – art. 29 GDPR – cfr. art. 6, comma 2, lett. B e D, D.Lgs. 231/2001);
• mettere in atto misure tecniche e organizzative adeguate sia per realizzare efficacemente i sistemi di gestione privacy “by design” e “by default”, tenendo conto anche dei costi di attuazione, e sia per garantire un livello di sicurezza adeguato al rischio (artt. 25 e 32 GDPR – cfr. art. 6, comma 2, lett. C, D.Lgs. 231/2001);
• una volta scoperta una eventuale violazione di dati personali degli interessati, adottare misure idonee a scongiurare un rischio elevato per i diritti e le libertà degli interessati anche successivamente al verificarsi di un Data Breach, rivedendo e implementando costantemente le misure adottate (art. 34 GDPR – cfr. art. 7, comma 4, D.Lgs. 231/2001);
• procedere a riesame della valutazione d’impatto sulla protezione dei dati quando insorgono variazioni del rischio nelle attività di trattamento (art. 35 GDPR – cfr. art. 7, comma 4, D.Lgs. 231/2001);
• procedere a un riesame e aggiornamento delle adottate misure tecniche e organizzative quando necessario, e ad un’integrazione delle garanzie necessarie per soddisfare i requisiti del regolamento anche nel corso del trattamento (art. 35 GDPR – art. 7, comma 4, D.Lgs. 231/2001.

Come si costruisce in concreto un modello di organizzazione privacy?

Esattamente come per il Modello di organizzazione 231, anche per la privacy un modello unico e esaustivo generale da adottare che vada bene per ogni realtà aziendale non esiste, dovendo procedersi al contrario con un modello fatto su misura della singola organizzazione.

Per strutturare quindi correttamente un Modello Organizzativo Privacy occorre fare riferimento in particolare al considerando 74 e all’art. 24 del GDPR, che forniscono delle linee guida per l’adozione di adeguate ed efficaci misure tecniche e organizzative.

In particolare, occorrerà tenere conto:

• della natura del trattamento;
• dell’ambito di applicazione;
• del contesto del trattamento;
• delle finalità del trattamento;
• dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche;

e come indicato dall’art. 25 GDPR, anche dello stato dell’arte e di costi di attuazione delle misure adeguate alla tutela dei dati personali, nonché della portata del trattamento.

Attraverso il modello in questione sarà possibile mettere in ordine sistematico tutte le procedure e le misure da adottare e adottate nel percorso di adeguamento, con la relativa documentazione.

Nella costruzione del modello organizzativo privacy è utile inoltre tenere in considerazione anche i recenti standard forniti dalle normative ISO, in particolare la ISO/IEC 27701, per la gestione delle informazioni personali e della privacy, volta a fornire uno strumento pratico alle organizzazioni per implementare il sistema di gestione e sicurezza dei dati personali, per documentare le scelte di natura tecnica e organizzativa adottate, per migliorare i controlli e le verifiche interne e da ultimo per coordinarsi con le autorità di controllo per le verifiche del caso.

La progettazione di un Modello organizzativo privacy necessita di una serie di attività che devono essere coordinate e valutate da un professionista. Vuoi verificare se la tua azienda è in regola con il GDPR? Vuoi essere preparato ad eventuali controlli ispettivi? Desideri adottare un modello di organizzazione che ti permetta di controllare la puntuale esecuzione di tutti gli adempimenti obbligatori per legge in materia di privacy? 

Contattaci per un primo colloquio nel quale potrai esporci le tue necessità.