Come creare un modello organizzativo secondo il principio di accountability
A quattro anni dall’entrata in vigore del Regolamento europeo 2016/679, molte organizzazioni si trovano in una fase del loro percorso di adeguamento in cui avvertono la necessità di dotarsi di un modello organizzativo che consenta di verificare e documentare nel tempo la compliance agli obblighi normativi nonché agli standard di sicurezza riconosciuti.
(Nella foto: Luciano Corino, consulente in personal data protection e membro del Consiglio Direttivo di Federprivacy)
È utile, in tal senso, richiamare uno dei principi cardine del Reg. UE 2016/679: il principio di accountability (responsabilizzazione) previsto agli artt. 5 par. 2 e 24 del GDPR.
In forza di tale principio, il Titolare del trattamento deve da un lato adottare misure tecniche ed organizzative per garantire il rispetto delle disposizioni previste dalla normativa europea; dall’altro deve comprovare e dimostrare la conformità ai principi e alle prescrizioni.
È altresì utile richiamare le analogie tra il sistema di gestione ed organizzazione in ambito privacy e quello delineato dagli art. 6 e 7 del d.lgs. 231/01.
Infatti, le due discipline presentano affinità di approcci e di modelli di governance dei rischi connessi a ruoli e responsabilità coinvolti nei processi interni all’organizzazione.
Così come il modello 231 assicura la tracciabilità e trasparenza dei processi aziendali esposti al rischio di verifica dei reati mediante apposite procedure (principio di Segregation of Duties), anche la costruzione di un efficiente sistema di gestione della privacy richiede l’adozione di una struttura organica chiaramente delineata dal Titolare in cui siano affidati responsabilità e obblighi relativamente al trattamento dei dati personali (es. Titolare, Responsabile, DPO, autorizzati).
Altro elemento di convergenza dei due modelli è quello relativo alla gestione del rischio, punto di partenza per la costruzione del sistema organizzativo.
Vediamo ora nel dettaglio in che cosa consiste.
In primo luogo, in entrambi i sistemi vengono identificati, a seguito di un risk assessment, i rischi connessi ai processi; in secondo luogo, in base all’esito, vengono definite le misure di sicurezza e controllo adeguate (es. policy, procedure, attività formative, protocolli etc.).
In tal senso, l’utilizzo di metodologie e strumenti di valutazione (es. check list, rating di conformità, self-assessment, KPI ecc.) rappresentano importanti strumenti a disposizione del Titolare per monitorare le attività effettuate o da effettuare e per rilevare eventuali gap o criticità nella gestione della data protection.
Questo è un aspetto che molti produttori di software di gestione dovrebbero considerare per poter fornire applicazioni di supporto alla compliance.
Nel nostro percorso professionale abbiamo guidato le organizzazioni attraverso l’utilizzo di un “rating di conformità” per valutare ex ante la situazione di partenza rispetto al raggiungimento della piena compliance normativa. Successivamente, in media ogni sei mesi, abbiamo ripetuto la valutazione per monitorare l’efficacia delle azioni di miglioramento intraprese.
Analogamente abbiamo fatto con i “rating di sicurezza” (tre rating relativi ai tre livelli di sicurezza definiti dall’AGID), condotti almeno una volta all’anno, al fine di monitorare il remediation plan.
Lo stesso approccio abbiamo adottato con riferimento al “rating di affidabilità dei fornitori” ritenuto particolarmente utile al fine di valutare e qualificare (ex ante) le garanzie e i requisiti dei fornitori.
La stessa check list l’abbiamo usata anche come riferimento per la conduzione degli audit presso i fornitori.
