1. Il processo di adeguamento al Regolamento Europeo 679/2016 ha richiesto alle aziende interessate alle modifiche introdotte dal GDPR (nella specie, chiunque effettui per finalità non prettamente domestiche trattamenti di dati personali) sia l’adozione e la predisposizione degli strumenti e delle misure più adeguate ad assicurare che i trattamenti dei dati personali effettuati siano conformi alle prescrizioni contenute nel menzionato regolamento europeo; sia la dimostrazione che le misure adottate siano effettivamente conformi ai principi sottesi ad esso (accountability).
Il GDPR, tuttavia, nulla specifica in ordine al modo e ai mezzi attraverso cui il titolare potrà dare conto concretamente delle condotte proattive assunte. Difatti,diversamente dall’approccio del precedente codice privacy del 2003 – dove veniva fornito invece un modello di adeguamento standard, ovvero attraverso l’allegato B) – il Regolamento Europeo sancisce il principio di responsabilizzazione, al fine di evitare che il rispetto dei principi si riduca, nella prassi, a un adeguamento meramente documentale e/o formale.
Diviene necessario, a questo punto, l’adozione di apposite procedure e documenti che consentano al Titolare di dar conto e dimostrare la propria accountability.
A tal fine, un utile strumento di cui costui potrà avvalersi è rappresentato dal Modello Organizzativo Privacy.
Quest’ultimo, in particolare, consentirà, al contempo, di analizzare, impostare, strutturare l’adeguamento al GDPR nonché di documentare e comprovare l’adozione di tutte le misure, le procedure e gli adempimenti posti in essere dal Titolare nel rispetto della normativa europea in materia di protezione dei dati personali nonché la loro efficacia.
In particolare, il titolare del trattamento, attraverso l’adozione del MOP, sarà in grado di dimostrare:
- la conformità dei trattamenti al GDPR;
- l’efficacia delle migliori misure scelte e adottate nelle attività di trattamento;
- garantire la continuità nel tempo del percorso di adeguamento intrapreso, anche a fronte di eventuali variazioni dell’assetto organizzativo aziendale;
- rapportarsi con le autorità di controllo con un percorso di compliance ben strutturato e definito, che possa anche fornire alle autorità dei punti di riferimento nell’effettuazione dei controlli o nel percorso di verifica.
2. Da un punto di vista operativo il MOP dovrà articolarsi in un duplice fase.
- Fase statica
Si tratta della fase descrittiva in cui l’organizzazione individua:- Come ha affrontato l’adeguamento;
- Come ha individuato i rischi associandone un valore;
- Come ha definito le procedure per mitigarli;
- le modalità di applicazione delle policy adottate in materia di protezione dei dati personali.
- Fase dinamica
Si tratta della fase dedicata all’aggiornamento del MOP.
La fase dinamica è destinata ad individuare tutti i fattori (interni ed esterni) influenti sulle misure applicate. Durante l’aggiornamento, che dovrà essere effettuato periodicamente, sarà possibile anche tenere in considerazione sia l’evoluzione della normativa rilevante in materia sia valutare l’opportunità di dare vita a nuovi trattamenti e/o tenere in debita considerazione le nuove scelte aziendali che coinvolgano il trattamento dei dati personali, con conseguente modificazione della documentazione adottata sino a quel momento.
Va ricordato, infatti, che i principi sottesi al Regolamento Europeo 679/2016 non consentono di considerare concluso l’attività di adeguamento con la predisposizione delle informative e delle nomine dei diversi attori coinvolti nelle attività di gestione delle informazioni personali.
L’essere compliant significa, al contrario, aver posto in essere un processo plasmato sulla dinamicità dell’organizzazione. Sarà necessario procedere a periodiche revisioni sia in ragione dei cambiamenti e/o delle innovazioni di volta in volta introdotte in relazione alla vita dell’organizzazione.
Affrontare correttamente i cambiamenti significa poter disporre di strumenti idonei che permettano di implementare tempestivamente la documentazione fino a quel momento adottata procedendo, a seconda dei casi, ad aggiornare o predisporre nuove informative; implementare le nomine degli autorizzati; aggiornare il registro del trattamento; valutare i rischi specifici nonché predisporre una DPIA (cd. Valutazione d’impatto e rischio trattamento).
La necessità di integrare o modificare la documentazione esistente può essere anche affrontata mediante aggiornamenti ad hoc per ogni evento; il che, seppur impeccabile dal punto di vista dell’aderenza del dettato normativo, appare difficilmente realizzabile, soprattutto nelle organizzazioni complesse.
Ne consegue che l’adozione del MOP diviene una necessità insita nell’applicazione della normativa di settore.
In sintesi, la predisposizione di tale modello consentirà di modificare il sistema di gestione aziendale della privacy con frequenza predefinita (salvo l’intervento specifico giustificato dal singolo evento che la rende opportuna l’attività di revisione) e apportare le dovute modifiche e/o integrazioni rese necessarie dai cambiamenti normativi e aziendali.
2.1. Il MOP, in particolare, come evidenziato, non dovrà limitarsi a “fotografare” l’attività svolta dal titolare del trattamento. Al contrario, in ragione della sua natura dinamica, dovrà tenere in debita considerazione sia le innovazioni aziendali che possano avere un’influenza sulle attività di trattamento dei dati personali sino a quel momento svolte sia le modificazioni normative e/o i provvedimenti dell’Autorità Garante dei dati personali successivamente emanati rispetto all’introduzione del Regolamento Europeo 679/2016.
Val la pena ricordare sul punto che l’art. 25 del GDPR stabilisce che i rischi devono essere valutati e le misure definite prima di iniziare un nuovo trattamento (… “fin dalla progettazione”).
Trattasi dei principi cd. della privacy by design e privacy by default e dell’approccio basato sul rischio.
Ne consegue che quanto indicato dall’art. 25 dovrà essere oggetto del MOP (come suggerito dal Considerando 78 che richiede l’adozione di apposite “politiche interne”).
Il modello organizzativo privacy si dovrà occupare di dare indicazioni sulle modalità per individuare un nuovo trattamento nonché provvedere alla distribuzione interna della responsabilità – associata, dall’art. 25, in primis al titolare. Spetterà a quest’ultimo, inoltre, individuare le misure di mitigazione dei rischi oltreché definire e introdurre gli accorgimenti, tra cui la “pseudonimizzazione”, specificamente destinati a garantire quanto previsto dal GDPR, nel rispetto dei diritti degli interessati.
Il MOP dovrà prevedere, altresì, che siano oggetto di trattamento solo i dati necessari, che sia valutato e minimizzata la portata del trattamento, che siano stabiliti i tempi di conservazione e che siano determinate le modalità di accesso ai dati personali oggetto dei trattamenti aziendali, strutturandolo in modo diversificato in base alle diverse funzioni svolte da parte degli autorizzati.
Ancora, dovrà essere noto (“trasparente” suggerisce il considerando 78) chi ha l’autorizzazione ad accedere ai dati permettendo all’interessato di avere informazioni in merito al trattamento dei propri dati personali ed al titolare di poter migliorare, in modo continuo, le misure applicate per proteggere i dati, sotto la sua responsabilità. In tale contesto, sarà necessario, inoltre, individuare tutti i responsabili del trattamento, predisponendo un apposito elenco all’uopo trasmesso agli interessati.
Infine, la policy dovrà considerare l’uso di applicativi, servizi e prodotti (il dettato normativo si riferisce, soprattutto, ai servizi della società dell’informazione). Tali soluzioni – spesso forniti da terzi – devono essere sviluppate e progettate alla luce del GDPR.
3. Com’è noto, l’impianto del modello organizzativo adottato per rendere l’organizzazione compliance al GDPR è concepito secondo il Ciclo di Deming o PDCA.
Lo schema del PDCA (Plan – Do – Check – Act) rappresenta la chiave di lettura dell’intero Regolamento anche per l’applicazione e l’attuazione dei principi della privacy by design e privacy by default.
Ogni nuovo progetto, che in termini del GDPR significa “ogni nuovo trattamento”, deve, fin dalla progettazione, rispettare la sequenza del “Plan – Do – Check – Act” portando a una revisione del MOP ed avviando, conseguentemente, un ciclo virtuoso e continuo il cui obiettivo finale è quello di trovare il punto di equilibrio tra i costi che un’organizzazione deve sostenere ed i benefici che ne può trarre, non solo in termini di rispetto della normativa, ma anche di reputation, riduzione delle vulnerabilità, sempre nel rispetto dei diritti e delle libertà degli interessati.
4. Il MOP non rientra tra gli adempimenti obbligatori, imposti dalla legge.
Ne consegue che il Sistema di Gestione dei dati personali potrà anche non essere supportato da un MOP, la cui adozione non è da considerarsi indispensabile, semmai opportuna.
Le modalità di lavoro per la realizzazione del MOP prevedono diverse fasi, tra cui:
- Individuazione degli ambiti interni coinvolti;
- Individuazione dei dati trattati e degli interessati coinvolti;
- Interviste alle varie funzioni apicali presenti;
- Raccolta della documentazione esistente;
- Integrazione documentale eventualmente necessaria;
- Redazione delle analisi rischi e delle procedure;
- Individuazione delle misure di mitigazione;
- Stesura e raccolta della documentazione all’interno del MOP.
5. Parlare di modello organizzativo privacy richiama immediatamente alla mente il modello di organizzazione e gestione di cui al D. Lgs. 231/2001 riguardante la responsabilità degli enti per gli illeciti amministrativi dipendenti da reato, che consente di eliminare o attenuare il rischio e le conseguenze delle sanzioni amministrative e interdittive connesse alla commissione di particolari reati (cd. “reati presupposti”). Similmente all’art. 30 del D. Lgs. 81/08 (Testo unico sulla sicurezza sul lavoro) che prevede anche qui la possibilità di istituire un idoneo modello di organizzazione e di gestione con efficacia esimente della responsabilità amministrativa dell’Ente nel caso di reati in ambito infortunistico.
L’adozione di un modello di organizzazione e gestione 231 è uno strumento per la difesa dell’organizzazione dalla responsabilità amministrativa derivante dalla commissione di reati a condizione che sia rispettato il contenuto minimo inderogabile indicato dalla normativa in questione, così come disposto dagli artt. 6 e 7.
A differenza del D.lgs. 231/2001, invece, il Regolamento Europeo 679/2016 non è costruito attorno a uno specifico modello organizzativo e non prevede quindi un contenuto minimo inderogabile.
Ciò nonostante, alcuni degli adempimenti previsti dal GDPR trovano una loro corrispondenza o similitudine con quelli che rappresentano il contenuto minimo del modello 231 indicato degli artt. 6 e 7 del D. Lgs. 231:
- individuare le attività di trattamento di dati personali più a rischio di violazioni e procedere a una valutazione di impatto sul trattamento dei dati quando un trattamento presenta rischi elevati per i diritti e le libertà delle persone fisiche (art. 35 GDPR – cfr. art. 6, comma 2, lett. A, D.Lgs. 231/2001);
- prevedere e programmare misure di formazione per assicurare che coloro che agiscono sotto l’autorità del titolare (o del responsabile) siano adeguatamente istruiti affinché il trattamento sia effettuato conformemente al GDPR e garantisca la tutela dei diritti degli interessati (art. 29 GDPR – cfr. art. 6, comma 2, lett. B e D, D. Lgs. 231/2001);
- mettere in atto misure tecniche e organizzative adeguate sia per realizzare efficacemente i principi di protezione dei dati “by design” e “by default”, tenendo conto anche dei costi di attuazione, e per garantire un livello di sicurezza adeguato al rischio (artt. 25 e 32 GDPR – cfr. art. 6, comma 2, lett. C, D. Lgs. 231/2001);
- una volta scoperta una eventuale violazione di dati personali degli interessati, adottare misure atte a scongiurare il sopraggiungere di un rischio elevato per i diritti e le libertà degli interessati anche successivamente al verificarsi di un Data Breach, rivedendo e implementando le misure adottate (art. 34 GDPR – cfr. art. 7, comma 4, D. Lgs. 231/2001);
- procedere a riesame della valutazione d’impatto sulla protezione dei dati quando insorgono variazioni del rischio nelle attività di trattamento (art. 35 GDPR – cfr. art. 7, comma 4, D. Lgs. 231/2001);
- procedere a un riesame e aggiornamento delle adottate misure tecniche e organizzative quando necessario, e ad un’integrazione delle garanzie necessarie per soddisfare i requisiti del regolamento anche nel corso del trattamento (art. 35 GDPR – art. 7, comma 4, D. Lgs. 231/2001.
Entrambi i modelli, poi, sono costruiti su un approccio fondato sulla valutazione rischio, ponendo al centro il principio di responsabilizzazione dell’organizzazione e prevedono inoltre la possibilità di riferirsi a codici di condotta per dimostrare la conformità alle normative di riferimento (art. 32 GDPR e art. 6 comma Dlgs. 231/2001), e dovranno essere adattati alla singola realtà aziendale e alle sue caratteristiche peculiari, in un percorso di costante adeguamento che tenga conto anche dell’evoluzione di un’organizzazione.
Inoltre, entrambi i modelli puntano a prevenire il rischio di un trattamento illecito dei dati personali, anche se per finalità differenti in quanto il sistema di controllo ex D. Lgs 231 è finalizzato alla prevenzione dei reati nell’interesse dell’organizzazione includendo tra i reati presupposto anche i delitti informatici e l’illecito trattamento dei dati (ovvero il “Cybercrime” art. 24-bis D. Lgs. 231/2001), mentre il GDPR ha come obiettivo la tutela dei diritti e delle libertà fondamentali degli interessati.
Una delle differenze da tenere in considerazione tra i due modelli risiede, infine, nella circostanza che, mentre con l’adozione preventiva di un efficace modello organizzativo 231 un’azienda può prevenire ed escludere la propria responsabilità amministrativa per reati commessi dai membri della propria organizzazione, l’adozione di un modello organizzativo in materia di dati personali non consente di per sé di escludere automaticamente la responsabilità dell’organizzazione in caso di data breach e/o di inadempimento ai principi e alle norme del GDPR, obbligando il titolare dell’organizzazione a un costante monitoraggio delle attività di trattamento e di implementazione e verifica delle misura adottate, anche per quanto adeguate possano essere sembrate all’inizio del percorso di adeguamento intrapreso, non essendo mai il Titolare esente dal rispetto integrale e costante degli adempimenti dettati dalla normativa privacy.
Per ulteriori informazioni contatta il nostro Ufficio Ambiente