Il Modello Organizzativo Privacy e l’integrazione tra normative cogenti e sistemi di gestione
Il Modello Organizzativo Privacy (MOP) è parte integrante del Modello Organizzativo sia di un’azienda privata che di una Pubblica Amministrazione. Per quanto il MOP non sia un documento espressamente richiesto dal Regolamento UE 679/2016 (GDPR) può essere considerato un’importante misura di accountability.
In questo articolo si esamineranno l’interconnessione e l’integrazione del MOP e delle normative cogenti con i sistemi di gestione di un’organizzazione, con particolare riguardo all’apparato documentale (di seguito denominato come “procedure”).
L’integrazione tra sistemi di gestione – L’integrazione tra norme e sistemi è un tema di grande attualità, a cui sono dedicati standard specifici come la recente ISO 37301:2021 “Sistemi di gestione per la compliance – Requisiti con guida per l’utilizzo” che fornisce le “Linee guida per istituire, sviluppare, attuare, valutare, mantenere e migliorare un efficace sistema di gestione per la compliance all’interno di un’organizzazione”.
Il MOP per sua natura tende a favorire l’integrazione, a beneficio di tutte le parti interessate, per gestire nel modo più efficiente i dati personali, nel rispetto della normativa e delle procedure interne. Infatti, il documento contiene e/o richiama le procedure, che nella maggior parte dei casi sono state predisposte per documentare alcuni processi aziendali considerando anche le implicazioni in materia di privacy.
Esempi di integrazione tra procedure – Qualche esempio per comprendere meglio la tematica:
– la procedura sulla gestione dei rifiuti elettronici impatta sui temi: ambiente, sicurezza delle informazioni, protezione dei dati personali (norme di riferimento – Dlgs 14 marzo 2014 n. 49, UNI EN ISO 14001:2015, ISO/IEC 27001:2022 e Regolamento EU 2016/679);
– la procedura sulla gestione degli infortuni concerne tematiche che riguardano: salute e sicurezza dei lavoratori, protezione dei dati personali (norme di riferimento – Dlgs 81/2008, UNI ISO 45001:2018 e Regolamento EU 2016/679);
– la procedura per la valutazione dei fornitori – iniziale e dinamica – , considera: la capacità di fornire un servizio/prodotto in linea con le esigenze aziendali, il monitoraggio delle prestazioni, le garanzie fornite nel ruolo di responsabili del trattamento (norme di riferimento – UNI EN ISO 9001:2015, ISO/IEC 27001:2022, ISO/IEC 27701:2019 e Regolamento EU 2016/679 art. 28) par. 1).
L’obiettivo finale dell’integrazione è quello di condensare in un numero limitato di documenti mirati tutti gli aspetti afferenti al processo, per garantirne una gestione organica, evitando la duplicazione di regole che potrebbero in parte sovrapporsi e/o rischiare di essere tra loro in contraddizione.
Il MOP e le procedure dell’organizzazione – Non è del tutto intuitivo comprendere le interconnessioni tra il MOP e le procedure di una organizzazione; i casi principali sono:
1. l’organizzazione non possiede un sistema di procedure afferenti a normative cogenti e/o a uno o più sistemi di gestione, ma reputa comunque utile predisporre il MOP;
2. l’organizzazione possiede un sistema di procedure ma non desidera integrarle nel MOP;
3. l’organizzazione possiede un sistema di gestione e considera una valida misura integrarle nel MOP.
Caso 1: non disponendo di un sistema di gestione (anche non certificato da un ente terzo), non sono presenti procedure o, se sono presenti, coprono a “macchia di leopardo” i processi. Conseguentemente il MOP può essere un documento “autoportante”, ovvero contenente al suo interno le procedure che descrivono i processi che impattano sulla gestione dei dati personali. Questa soluzione prevede che MOP contenga tutte le informazioni necessarie a gestire il sistema senza rimandi ad altri documenti.
Caso 2: pur disponendo del sistema di gestione (anche in questo caso non necessariamente certificato), si mantiene il MOP come documento separato e senza alcuna interconnessione con il/i sistema/i di gestione. Verrebbe predisposto, anche in questo caso, un MOP “autoportante”, come definito al punto precedente. L’organizzazione, operando in questo modo, perderebbe però tutti i vantaggi ottenibili dall’integrazione tra sistemi e normative cogenti.
Caso 3: il MOP non si presenta come un documento “autoportante”; l’organizzazione che, disponendo del sistema di gestione, lo estende agli aspetti relativi alla protezione dei dati personali, predispone un MOP contenente i documenti previsti specificamente dalla normativa (ad es.: registro dei trattamenti, analisi dei rischi, eventuale PIA), limitandosi a semplici riferimenti alle procedure derivanti dalla applicazione delle normative e/o sistemi di gestione. Tali riferimenti consistono in rimandi alle procedure (sigla e titolo) senza alcun’altra considerazione, salvaguardando così uno dei principi cardine dei sistemi di gestione: “i contenuti delle procedure si scrivono una sola volta; negli altri casi devono essere forniti i soli rimandi, evitando la duplicazione delle informazioni”.
Aggiornamento del MOP – Lo stato di aggiornamento del MOP dipende da diversi fattori, anche in base alla struttura del documento stesso:
– se il MOP richiama le procedure (caso 3), ma non le contiene, la frequenza di aggiornamento dipende da variazioni interne (nuovi trattamenti o modifiche a quelli esistenti) ed esterne (normative, provvedimenti, tecnologie, misure imposte da soggetti esterni quali i Titolari del trattamento);
– se le procedure sono parte integrante del documento (casi 1 e 2), la frequenza di aggiornamento considera anche le variazioni delle procedure medesime, per renderle più efficienti o per la loro mancata/parziale applicazione come risultato di attività di audit.
Protezione dei contenuti – Il MOP può contenere o richiamare regole aziendali che non è opportuno siano conosciute da tutti i collaboratori, in quanto gli stessi, pur in buona fede, potrebbero comunicarle a terzi. Rendere note le misure applicate vuol anche dire, per differenza, rendere note quelle “non applicate” e tale aspetto potrebbe interessare eventuali malintenzionati; bisogna quindi attivarsi per proteggere i contenuti da usi impropri.
Conclusioni – Il MOP offre costantemente spunti di riflessione, nonché la possibilità, che si affina via via, di integrarlo con contenuti che permettano di meglio definire, condividere ed applicare le procedure aziendali. Ciò nel rispetto, come sopra indicato, delle varie normative che impattano sull’organizzazione, e non solo di quella sulla protezione dei dati personali. Il MOP, contenendo o richiamando le “regole”, può diventare, in tutto o in parte, criterio di audit; questo è uno dei motivi per i quali lo stesso Data Protection Officer dovrebbe pretendere che il documento venga predisposto, aggiornato e reso disponibile alle parti interessate.
Articolo ripreso da FederPrivacy