Il GDPR, ovvero il Regolamento Europeo Generale che disciplina il trattamento dei dati personali, prevede che aziende ed organizzazioni che trattano dati personali adottino una serie di misure atte a consolidare la sicurezza delle informazioni e assicurarne la riservatezza, l’integrità e la disponibilità dei dati.

Il principio cardine di accountability impone ad aziende e organizzazioni di attuare tutte le misure volte ad implementare la protezione dei dati personali in maniera efficace. Ed è a questo punto che emerge l’importanza di redigere un MOP, acronimo di Modello Organizzativo Privacy, ovvero un documento la cui finalità è mettere in evidenza tutte le procedure attuate e le misure messe in atto da un’organizzazione per far fronte agli adempimenti della normativa GDPR.

Obiettivi del Modello Organizzativo Privacy

Per quanto il MOP non sia un documento espressamente richiesto dal GDPR, può essere considerato un importante strumento per riassumere ed esplicitare gli obiettivi in materia di trattamento dati. Gli obiettivi del MOP sono:

• Definire e implementare una modello operativo in grado di tutelare i Dati Personali;
• Verificare l’adempimento degli obblighi derivanti dalla normativa a tutela delle persone fisiche rispetto al trattamento dei dati personali che li riguardano;
• Mitigare i rischi operativi, reputazionali e di adempimento degli obblighi relativi ad una gestione non corretta del trattamento dati;
• Fornire indicazioni chiare e complete per assicurare la conformità normativa nelle attività di trattamento dei Dati Personali;
• Individuare in maniera univoca le responsabilità per l’adempimento degli obblighi nei processi trasversali che comportano il coinvolgimento di diversi uffici e assicurare il rapporto con i responsabili.

I contenuti del Modello Organizzativo Privacy

Il Modello Organizzativo Privacy è un documento che racchiude in un unico testo tutte le procedure, le istruzioni, i modelli e i documenti inerenti al raggiungimento e al mantenimento della compliance normativa ed è finalizzato alla concreta protezione delle persone fisiche per tutto quello che concerne il trattamento dei dati personali.

Il MOP non si basa su un modello universale, ma è possibile indicarne i contenuti di base:

• Registro dei trattamenti
• Analisi dei rischi e metodologia utilizzata per la valutazione dei rischi
• Elenco dei responsabili del trattamento e, se applicabile, dei contitolari
• Misure tecniche ed organizzative adottate per mitigare i rischi
• Documentazione relativa allo stato di presa in carico di alcuni adempimenti
• Modelli di documenti (informativa per i vari tipi di interessati, atto di designazione ad autorizzato, atto di designazione a Responsabile)
• Organigramma e documento mansionario per le risorse che rivestono specifiche responsabilità in materia di protezione dei dati
• Piano di formazione per gli addetti
• Piano di audit
• Stato di presa in carico delle criticità
• Motivazioni alla base delle scelte relative ai trattamenti effettuati
• Indicatori afferenti alla protezione dei dati che permettono di comprendere, tramite dati oggettivi e riproducibili, l’efficacia e l’efficienza delle misure poste in atto per la mitigazione dei rischi

Aziende ed organizzazioni possono trarre ampio beneficio dall’adozione di un MOP, poiché a tutte le parti interessate viene fornito lo strumento per comprendere lo stato della documentazione e delle misure poste in atto. Si tratta, in sostanza, di un comportamento proattivo funzionale agli obiettivi di business aziendale.

Perché è importante adottare il MOP

Il GDPR prevede il dovere di collaborare con le autorità di controllo durante le ispezioni e nell’esecuzione dei loro compiti: l’adozione del MOP, quindi, è decisiva poiché racchiude iprincipi di riferimento, le regole, i ruoli e le responsabilità dei soggetti coinvolti nelle attività di gestione e protezione dei dati personali, in ottemperanza al principio di “accountability” (responsabilizzazione) e in conformità con quanto previsto dalla vigente normativa privacy applicabile.

Predisporre un MOP efficiente e completo è un processo senz’altro impegnativo ma che comporta innegabili benefici per l’organizzazione. Il Modello Organizzativo Privacy interessa ogni settore aziendale coinvolto nelle attività di trattamento dati, aiutando tutte le parti a comprendere lo stato della documentazione e delle misure poste in atto, facilitando l’aggiornamento, la condivisione e le valutazioni effettuate a monte delle scelte. Datapro è in grado di fornire il servizio di consulenza per redigere un Modello Organizzativo Privacy completo, grazie a professionisti certificati con esperienza in tema di privacy e tutela dei dati, nonché padronanza dei processi aziendali. Contattaci per una consulenza: consulenza@datapro.srl