Il Modello Organizzativo Privacy come misura di accountability per la compliance al Gdpr

Frequentemente viene citato, come misura di accountability, il “MOP”, acronimo di “Modello Organizzativo Privacy”, che alcuni indicano anche come “Manuale Operativo Privacy”. Si tratta di un documento che ha la finalità primaria di dare evidenza delle azioni poste in atto da un’organizzazione per far fronte agli adempimenti in materia di protezione dei dati. In realtà tale documento potrebbe avere scopi ben più ampi, come viene illustrato nell’articolo.

Il Modello Organizzativo Privacy – La finalità primaria del MOP è quella di condensare in un unico testo, a favore di tutte le parti interessate, una serie di documenti che altrimenti potrebbe essere difficile inventariare e tenere sotto controllo, in particolare per realtà a complessità medio- alta, nelle quali la documentazione afferente alla protezione dei dati tende a proliferare.

Il MOP contiene o fa riferimento a procedure, istruzioni, modelli ed altri documenti che l’organizzazione potrebbe aver predisposto per dare evidenza della applicazione della normativa. Ciò in ossequio ad uno dei principi fondamentali della documentazione sui sistemi di gestione, il quale richiede che non si duplichi mai un testo o di parte di un testo in documenti differenti. Le parti componenti il MOP, a loro volta, possono essere utilizzati quali criteri di audit.

Il MOP viene di norma redatto dal Referente Privacy/Privacy Officer ed approvato dal Titolare del trattamento. Quando è stato designato un DPO, questi esprime una valutazione del documento, richiedendo se del caso modifiche ed integrazioni.

Il MOP è aggiornato in occasione di variazioni di contesto (interno o esterno all’organizzazione), di normative, e per l’introduzione di nuove misure, nonchè in seguito alla modifica o eliminazione di misure ritenute non più adeguate. È opportuno conservare la storicizzazione delle varie versioni del documento per comprenderne, nel tempo, l’evoluzione.

I destinatari del documento sono:

– il DPO quando presente;
– il Titolare del trattamento, nel caso in cui l’organizzazione – che ha predisposto il MOP – rivesta il ruolo di Responsabile; in questo caso a tali soggetti potrebbe essere resa disponibile solo una parte dei contenuti;
– gli incaricati dell’attività di audit/ispezione;
– gli autorizzati al trattamento (anche in questo caso è da valutare un accesso parziale);
– altri eventuali soggetti in rappresentanza delle parti interessate.

L’accesso al documento deve, in ogni caso, essere autorizzato dalla Direzione dell’organizzazione.

Monica Perego è co-autrice del libro "Modello Organizzativo Privacy"

Non essendo codificato in alcun modo, non è ovviamente possibile definire un indice “tipo” del MOP, ma si possono indicare i contenuti di base, comuni alla maggior parte delle versioni di tale documento; essi sono:

– registro dei trattamenti;
– analisi dei rischi e metodologia utilizzata per la valutazione dei rischi;
– l’elenco dei responsabili del trattamento e dei contitolari;
– misure di mitigazione poste in essere per mitigare i rischi; quando tali misure hanno valenza di procedure queste sono riportate nel MOP o nei documenti ad esso correlati;
– la documentazione relativa allo stato di presa in carico di alcuni adempimenti, come ad esempio il Provvedimento sugli amministratori di sistema o il Regolamento sulla videosorveglianza – videoregistrazione;
– modelli di documenti (informativa per i vari tipi di interessati, atto di designazione ad autorizzato, atto di designazione a Responsabile da personalizzare, ecc.).

Considerati i contenuti del documento, è opportuno che alcune sue parti abbiano accesso riservato, in particolare l’analisi dei rischi e le misure poste in essere. Conoscere quali sono i rischi di un’organizzazione e le misure attuate, significa evidentemente anche conoscere quelle che l’organizzazione non ha applicato.

Ad esempio, essere a conoscenza che la misura relativa alla criptazione dei dati non è stata ancora implementata per uno specifico trattamento, di fatto permette di conoscere una vulnerabilità del sistema, che potrebbe essere abilmente sfruttata e quindi aprire dei varchi ad un malintenzionato.

Alla versione base del MOP si potrebbero anche aggiungere ulteriori contenuti, aumentandone così il valore in termini di accountability; tra questi, i più significativo sono:

– l’organigramma ed il mansionario per le risorse che rivestono specifiche responsabilità in materia di protezione dei dati (come ad esempio il Referente Privacy/Privacy Officer);
– lo scadenziario;
– il piano di formazione per il personale – consuntivo anno 20xx-1 e preventivo anno 20xx
– il piano di audit – sia sistema di gestione che conformità legislativa – consuntivo anno 20xx-1 e preventivo anno 20xx;
– lo stato di presa in carico delle criticità – a seguito di databreach, audit, reclami e segnalazioni – rilevate nel corso anno 20xx-1;
– le motivazioni alla base delle scelte relative ai trattamenti effettuati;
– indicatori afferenti alla protezione dei dati, a consuntivo anno 20xx-1, che permettono di comprendere, tramite dati oggettivi e riproducibili, l’efficacia e l’efficienza delle misure poste in atto per la mitigazione dei rischi.

La finalità di tali contenuti integrativi è quella di permettere al Titolare di motivare le scelte fatte, in particolare:

– investimenti sostenuti – ad esempio un intervento di formazione del personale in materia di cybersecurity;
– investimenti rimandati – ad esempio l’introduzione di un nuovo firewall che è slittata nel tempo, a causa del costo da sostenere, una volta valutate le priorità dell’organizzazione; in questo caso assume particolare rilevanza motivare la causa all’origine della scelta.

Poter disporre di un documento di questo genere è anche funzionale in vista di un’eventuale ispezione del Garante, che potrebbe verificare, proprio attraverso quanto documentato nel MOP, che le scelte effettuate sono state oggetto di ponderazione da parte del Titolare, supportato anche dal DPO, e non frutto di soluzioni “facili”. Chi ha avuto modo di confrontarsi con esponenti del Nucleo Ispettivo del Garante, sono a conoscenza che tali soggetti concordano in merito a tali considerazioni.

Conclusioni – Certamente predisporre la prima versione di un MOP non è né facile né veloce, ma a tendere il MOP si presenta come uno strumento il cui rapporto costi/benefici è nettamente a favore di questi ultimi. Ciò è determinato non solo dalla valenza del MOP come supporto in caso di ispezione ma anche a favore di tutte le parti interessate che possono comprendere lo stato della documentazione e delle misure poste in atto. Ciò ne facilita l’aggiornamento, la condivisione – nella misura in cui ciò è funzionale agli obiettivi dell’organizzazione – e più in generale le valutazioni a monte delle scelte effettuate.

Articolo ripreso da: Federprivacy.org