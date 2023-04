Ricerca



Guida alla redazione di un modello organizzativo privacy (MOP)

di LUISA DI GIACOMO*

La documentazione di accountability che ogni Ente è tenuto a redigere per garantire ed essere in grado di dimostrare di gestire e trattare i dati conformemente al dettato normativo trova la propria sintesi nel cosiddetto Modello Organizzativo Privacy, o MOP, il documento che concretizza il sistema di gestione dei dati.

Scopo del documento è di stabilire politiche e procedure interne al fine di conseguire gli obiettivi del rispetto della normativa in materia di protezione dei dati personali e del rispetto dei diritti degli interessati.

Attenzione: non si tratta di un documento obbligatorio. Non c’è scritto in alcun articolo del GDPR o del codice privacy che gli Enti siano tenuti a mettere per iscritto le misure e le procedure adottate. Ma nell’ambito del generale principio di accountability che permea non solo tutto il Regolamento, ma altresì tutto il sistema di gestione dei dati, avere un sistema scritto a cui fare riferimento costituisce un’ottima misura organizzativa di rendicontazione, ovvero di responsabilizzazione.

Il fatto che il documento non sia obbligatorio implica che non ci sia un template, un fac-simile per redigerlo: vige la libertà di forma, in merito a lunghezza e contenuti. Tuttavia, trattandosi del modello che dovrebbe rispecchiare l’organizzazione dell’Ente, le misure adottate, le procedure scelte, ogni MOP dovrebbe essere unico ed esclusivo: ma il condizionale è d’obbligo, perché la tentazione di fare copia e incolla dal Modello dell’Ente vicino è sempre molto forte.

Vediamo quindi, nel concreto, che cosa dovrebbe (o meglio, potrebbe) contenere un MOP e quali sono invece gli errori da evitare della sua redazione, ricordando che ogni modello dovrebbe essere tagliato su misura per ciascun Ente, proprio come un cappotto sartoriale che veste alla perfezione.

Contenuti di base del MOP

descrizione dell’Ente e tipologia dei trattamenti di dati personali effettuati (specificando l’eventuale esistenza di disposizioni normative privacy specifiche per il settore di appartenenza o di certificazioni ottenute);

(specificando l’eventuale esistenza di disposizioni normative privacy specifiche per il settore di appartenenza o di certificazioni ottenute); descrizione dei ruoli, delle funzioni e delle responsabilità del Titolare del Trattamento , del DPO e dei soggetti delegati/incaricati/designati al trattamento dati personali;

, del DPO e dei soggetti delegati/incaricati/designati al trattamento dati personali; indicazione dei rapporti contrattuali (con la relativa documentazione) tra Titolare, Contitolari, Responsabili del Trattamento e DPO e degli atti di nomina degli autorizzati interni al trattamento, con le relative competenze, ruoli e responsabilità;

degli atti di nomina degli autorizzati interni al trattamento, con le relative competenze, ruoli e responsabilità; informative privacy per le varie tipologie di interessati (clienti, dipendenti, fornitori, utenti esterni…) con le procedure per l’esercizio dei relativi diritti; i moduli di consenso al trattamento;

(clienti, dipendenti, fornitori, utenti esterni…) con le procedure per l’esercizio dei relativi diritti; i moduli di consenso al trattamento; registro dei trattamenti, regolamento informatico aziendale e registro delle attività di formazione del personale ;

; procedura di valutazione di risk assesment e procedura di valutazione di impatto ( DPIA ) dei trattamenti previsti sulla protezione dei dati in presenza di rischi elevati per i diritti e le libertà degli interessati e indicazione delle procedure di mitigazione del rischio;

e procedura di valutazione di impatto ( ) dei trattamenti previsti sulla protezione dei dati in presenza di rischi elevati per i diritti e le libertà degli interessati e indicazione delle procedure di mitigazione del rischio; prassi operative in caso di data breach , con i modelli di notifica al Garante in caso di violazione di dati e di comunicazione agli interessati con il modello di richiesta di esercizio dei diritti degli interessati e di riscontro da parte dell’organizzazione;

in caso di , con i modelli di notifica al Garante in caso di violazione di dati e di comunicazione agli interessati con il modello di richiesta di esercizio dei e di riscontro da parte dell’organizzazione; eventuale adozione di codici di condotta;

Che cosa NON fare quando si redige un MOP

Non chiudiamolo in un cassetto: l’impianto organizzativo privacy non è un menhir, immutabile nel corso dei secoli. Di conseguenza, non solo le attività per la messa in conformità, ma anche la documentazione a supporto subiscono variazioni nel tempo, esattamente come subisce variazioni la vita e l’organizzazione dell’Ente. Non si redige un MOP per collezionare documenti da chiudere in un cassetto e dimenticare, si redige un MOP per indicare la strada, orientare le decisioni e fornire un punto di riferimento per scrivere le procedure.

Il MOP e i documenti ad esso allegati costituiscono, un punto di partenza, non di arrivo, in continuo aggiornamento, un oggetto dinamico che avrà, nel tempo, aggiornamenti delle informative, del registro dei trattamenti, nuove valutazioni di impatto eccetera.

Il MOP deve essere coerente e sempre verificato e aggiornato alla luce dei cambiamenti di contesto interni o esterni all’Ente ed anche agli eventuali mutamenti normativi. L’introduzione di nuovi trattamenti, ad esempio, o l’adozione di nuove tecnologie o il mutare dei rischi impongono una revisione costante del modello stesso.

Il MOP non è un capo a taglia unica: ma è come un cappotto su misura, come abbiamo detto. La tentazione di copiare da un altro Ente simile al nostro è forte, ma così facendo (oltre ad appesantire l’attività di inutile carta e burocrazia) si rischia di inserire all’interno di un fondamentale documento di accountability elementi estranei alla propria organizzazione, col risultato che in caso di ispezione, non solo verrebbe accertata la mancanza di accountability, ma sarebbero probabili pesanti ripercussioni di carattere sanzionatorio.

Il MOP deve essere uno strumento utile a ridurre gli eventi che hanno una ragionevole probabilità di verificarsi (o che si sono verificati in passato) o che possono comportare dei rischi per i diritti e le libertà degli interessati, non è, invece, una trattazione meramente dottrinale.

In medio stat virtus: il modello organizzativo privacy è espressione del principio di accountability ma non essendo un adempimento obbligatorio, bisogna pensare di redigerlo solo se serve veramente, ossia se funzionale all’organizzazione dell’Ente, senza rimanere superficiali, ma senza nemmeno aggravare le procedure dell’Ente con carta inutile, prevedendo che siano oggetto di trattamento solo i dati necessari e che sia valutata la portata del trattamento e fissati tempi certi di conservazione.

Il MOP è inutile senza il coinvolgimento e la formazione del personale: la redazione del MOP è un’operazione che deve coinvolgere tutto il personale dell’Ente, che deve altresì essere oggetto di specifica formazione, perché solo un individuo consapevole e che ha acquisito le giuste competenze può garantire che i processi aziendali vengano svolti in modo efficace. Oltre ad essere un obbligo specifico introdotto dal Regolamento (art. 29: «il responsabile del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del titolare, che abbia accesso ai dati personali non può trattare tali dati se non è istruito in tal senso dal titolare»), la formazione costituisce la miglior misura di sicurezza che il Titolare possa predisporre per la tutela dei dati del proprio Ente, sia in termini di organizzazione, sia in termini di sicurezza informatica e capacità di riconoscere le minacce in modo autonomo.

L’AUTORE

* Luisa Di Giacomo è avvocato da oltre quindici anni, dal 2012 è consulente privacy presso diverse aziende nel nord Italia e dal 2018 ricopre l’incarico di DPO presso diverse Pubbliche Amministrazioni (Comuni, Enti di ricerca, Enti socio assistenziali) e società private. Dal 2022 fa parte del pool di consulenti esperti in Data Protection Law istituito presso l’European Data Protection Board.

Formata nell’ambito del diritto civile e commerciale, negli ultimi dieci anni si è dedicata in via esclusiva al diritto di internet, delle nuove tecnologie, della protezione dei dati personali e della cybersecurity.

Ha svolto periodi di studio e di lavoro all’estero, è docente e formatore per Maggioli spa, responsabile della sezione cybersecurity del portale diritto.it, redattrice per la Gazzetta degli Enti Locali.

Parla inglese e francese a livello madrelingua, ed ha una discreta conoscenza dello spagnolo e del portoghese.

Ama scrivere narrativa e dedicarsi all’attività di formazione in aula e online, già autrice per La Gazzetta degli Enti Locali della rubrica I martedì della cybersecurity.

Le piace definirsi Cyberavvocato.

