Così come accade nelle varie tipologie di sistemi di gestione che caratterizzano le imprese moderne (adozione di modelli organizzativi ex l. 231/01, certificazione di sistemi di gestione qualità, ambiente, sicurezza), che sono sinonimo e garanzia di corretta gestione ed elemento talvolta necessario per accedere a determinati mercati, l’esigenza di un modello organizzativo sulla data protection sta diventando sempre crescente.

L’emanazione del nuovo GDPR, con tutte le sue implicazioni, può consentire a chi si conforma a quanto previsto per quanto concerne gli aspetti organizzativi, di sfruttare un sensibile vantaggio competitivo nei confronti dei loro concorrenti: ecco perché, più che considerare la gestione della data protection come un costo od un inutile adempimento formale, vanno considerati i benefici che l’adozione di questo modello di gestione può originare.

E’ uno degli aspetti principali per l’implementazione di un modello organizzativo. Si tratta di capire dagli operatori del trattamento, dalla governance dell’ente, dal professionista, quali sono i soggetti che intervengono nel trattamento dei dati. Andranno individuate le seguenti figure:

• Titolare (verifica di casi di contitolarità del trattamento);
• Responsabili esterni del trattamento;
• Soggetti designati;
• Responsabile della Protezione dei Dati (DPO)
• Amministratore di Sistema (ove presente).

L’analisi delle figure soggettive consente di redigere conseguentemente l’organigramma privacy dell’ente

Bisogna descrivere tutti i trattamenti di dati effettuati nell’ente, individuando le tipologie di dati trattare, i flussi e le modalità di circolazione delle informazioni nella gestione ordinaria dell’attività.

Nello specifico, oltre all’identificazione dei trattamenti, è necessario effettuare una ricognizione su:

• I dati che vengono trattati e le loro categorie;
• Le categorie di interessati al trattamento;
• Le finalità perseguite con il trattamento;
• Le norme a presidio dei trattamenti effettuati;
• La durata del trattamento;
• Il periodo di conservazione dei dati;
• Le categorie di destinatari oggetto di trattamento;
• Il flusso informativo all’interno dell’ente.

L’operazione conseguente è la redazione dei registri delle attività di trattamento (del titolare e dei responsabili)

Viene effettuata una puntuale valutazione dei rischi connessi al trattamento dei dati (legati all’uso di apparecchiature, agli accessi agli archivi fisici ed informatici, all’accesso ai locali dell’ente, ecc..)

I principali rischi da valutare nella gestione dei dati personali sono:

• la distruzione o perdita, anche accidentale dei dati stessi;
• l’acquisizione fraudolenta dei dati;
• l’accesso non autorizzato;
• il trattamento non consentito (trattamento illecito);
• il trattamento non conforme alle finalità per le quali i dati sono stati raccolti.

Tutte le tipologie di rischio sono oggetto di accurata valutazione, con l’adozione di adeguate misure di sicurezza per contenerne gli eventuali effetti.

Le misure di sicurezza possono essere di tipo:

• TECNICO (o meglio ancora, legate alla tecnologia e quindi prevalentemente di tipo informatico)
  • Sistemi di protezione dei software in uso con costante aggiornamento;
  • Verifica dei back up e conservazione delle copie (conservazione sostitutiva consigliabile);
  • Adozione dei sistemi di antivirus e firewall con controllo delle licenze;
  • Controllo accessi informatici (mediante password di sicurezza periodicamente sostituite);
  • Adozione di tecniche di criptazione dei dati, di cifratura e pseudonimizzazione.
• ORGANIZZATIVO (legate all’organizzazione dell’ente)
  • Procedure di controllo degli accessi fisici (a locali, ad archivi)
  • Previsione di regole di comportamento per i soggetti designati al trattamento per prevenire violazione dei dati;
  • Procedure per l’esercizio e la tutela dei diritti degli interessati al trattamento.

Altra attività strategica nel momento in cui si decide di intervenire in un ente per dotarlo di un sistema di gestione organizzato nell’ambito privacy.

Per consentire agli “attori del trattamento” un coinvolgimento consapevole nell’applicazione delle norme e delle procedure, è necessario dotarli di un patrimonio informativo.

Negli enti da me assistiti, mi occupo personalmente della formazione di tutte le figure occupate che impattino con il trattamento dei dati (direzione, management, responsabili di funzione, impiegati di diverso livello).

Viene impostato un sistema di flusso con procedure ben individuate e con l’identificazione precisa dei centri di responsabilità. Il risultato conclusivo è la stesura del manuale della gestione della privacy, corredato da lettere di nomina dei responsabili e dei soggetti designati, informative e consensi, analisi dei rischi, individuazione delle misure di sicurezza da adottare, stesura dei registri dei trattamenti, organigramma ai fini privacy.

E’ lo strumento che consente di non incorrere in violazioni delle norme nell’ambito delle normali attività di trattamento, se correttamente impostato.

Le procedure previste nel modello non è detto che siano durevoli: spesso si manifesta l’esigenza che esse debbano essere migliorate, modificate, adeguate ai cambiamenti che le evoluzioni dei sistemi organizzati comportano e, ovviamente, ai cambiamenti dei trattamenti effettuati.

Si ravvisa, quindi, la necessità di intervenire con operazioni periodiche di revisione delle procedure con azioni correttive o con la scrittura di nuove procedure, onde assicurare all’ente il miglioramento continuo.