Le procedure che trattano del tema delle risorse umane hanno un notevole impatto in termini di protezione dei dati personali; tra i vari processi da considerare vi è la cessazione del rapporto di lavoro, che implica una serie di adempimenti.

La “UNI EN ISO 22301:2019 Sicurezza e resilienza - Sistemi di gestione per la continuità operativa – Requisiti” è una norma certificabile che contiene un insieme di requisiti richiesti da un sistema di gestione della continuità operativa (BCMS) che contiene preziose indicazioni di carattere strettamente operativo quando una situazione emergenziale colpisce i dati aziendali.

Il DPO deve essere promotore di una pianificazione coerente e solida della continuità aziendale anche in caso di condizione emergenziale, al fine di garantire i diritti e le liberta dell’interessato, considerando il bilanciamento di tutti gli interessi in gioco, le priorità, le risorse economiche disponibili. Spunti importanti da alcuni standard ISO.

La contrapposizione tra figure tecniche e figure umanistiche è antica; storicamente si sono sempre individuate professioni in cui la componente tecnica era rilevante, a scapito delle conoscenze umanistiche, e viceversa, ma l’antica dicotomia va riducendosi. La dottrina della protezione dei dati è una dimostrazione di ciò: è un tavolino a tre gambe.

Il processo di selezione del personale comporta necessariamente un trattamento dei dati personali, e il colloquio di selezione è una delle attività che richiedono il rispetto del GDPR.

La recente pubblicazione della ISO/IEC 27001:2022 - Information security, cybersecurity and privacy protection — Information security management systems — Requirements, di ottobre 2022, ha completamente rivisto l’impianto dei controlli dello standard.  Già dal titolo della norma si comprende che alla protezione dei dati personali è dato molto rilievo; come si evince anche dai numerosi controlli che in modo diretto o indiretto impattano sulla protezione dei dati personali.

Un’efficace strategia di gestione degli incidenti relativi alla sicurezza delle informazioni, e dei data breach in particolare, si gioca sull’equilibrio tra la riduzione dell'impatto degli incidenti e la loro elaborazione nel modo più efficiente possibile; un valido approccio si basa sullo sviluppo di un piano.  

Tra le misure di accountability che un’organizzazione deve considerare, lo scadenziario, parte integrante del MOP, (Modello Organizzativo Privacy), necessita un’opportuna riflessione. Lo strumento segnala la necessità di effettuare delle verifiche per controllare che le misure previste siano state effettivamente applicate e risultino efficaci (vedi anche GDPR art. 32 par. 1d). In altri termini, è una misura di “secondo livello” ovvero che “controlla altre misure”.

Il Modello Organizzativo Privacy (MOP) è parte integrante del Modello Organizzativo sia di un'azienda privata che di una Pubblica Amministrazione. Per quanto il MOP non sia un documento espressamente richiesto dal Regolamento UE 679/2016 (GDPR) può essere considerato un'importante misura di accountability.

La Norma ISO/IEC 27001:2022 “Information security, cybersecurity and privacy protection — Information security management systems — Requirements” ridisegna e riorganizza completamente l’impianto dei controlli rispetto alla precedente versione.  La sezione 6 riguarda i controlli sulle persone “People controls” e prevede 8 controlli: