Il Modello Organizzativo Privacy come strumento di integrazione: esempi
Il Modello Organizzativo per la Protezione dei Dati (c.d. MOP) è uno strumento di accountability, utile anche per dare evidenza di come l’Organizzazione che lo adotta intenda integrare la normativa cogente (sia generalista che di settore), come i sistemi di gestione volontari, favorendo efficaci modalità di comunicazione. L’integrazione tra sistemi è un tema di grande attualità, a cui sono dedicati standard specifici, come la recente ISO 37301:2021 “Sistemi di gestione per la compliance - Requisiti con guida per l'utilizzo”, che fornisce le “Linee guida per istituire, sviluppare, attuare, valutare, mantenere e migliorare un efficace sistema di gestione per la compliance all'interno di un'organizzazione”.
(Nella foto: Monica Perego, docente del Corso di alta formazione sui Sistemi di Gestione della Privacy e co-autrice del libro Modello Organizzativo Privacy)
Nell’articolo si vuole evidenziare come, attraverso il MOP, si possa favorire tale integrazione ed analizzare i vantaggi che l’integrazione presenta.
Il MOP e la comunicazione - Il MOP ben si presa a mettere in atto gli elementi cruciali della comunicazione tra due o più funzioni, all’interno dell’organizzazione, affinchè la comunicazione possa essere efficace e sistematica, ovvero raggiungere l’obiettivo (efficace) ogni volta che è previsto (sistematica).
Un semplice esempio aiuta a comprendere dove focalizzare l’attenzione. Il dipendente ALFA cambia mansione, gli devono quindi essere assegnati i privilegi di accesso ai sistemi informatici congruenti con la nuova mansione e devono essere rimossi/variati quelli di cui disponeva precedentemente. Ciò comporta che HR avvisi, nei tempi previsti, il servizio ICT, affinchè provveda a mettere in atto quanto richiesto, cioè fornire i device che il dipendente deve avere a disposizione per assolvere a quanto previsto dal nuovo incarico. Una volta completate le attività a suo carico, ICT deve informare la funzione HR. I punti cruciali di questa attività sono gli snodi comunicativi tra HR e ICT, tanto quanto quelli delle attività a carico delle singole funzioni. Ritardi nella comunicazione compromettono l’efficacia delle azioni da porre in atto.
L’integrazione tra sistemi - L’integrazione tra sistemi è una importante misura di accountability. L’obiettivo è quello di integrare tutti gli aspetti che sono riconducibili ad un processo, o a una parte di processo, per quanto essi siano afferenti a diverse funzioni aziendali. Ciò permette di identificare le responsabilità a carico delle varie funzioni, non solo per lo svolgimento dei compiti ad esse assegnate, ma, soprattutto, per identificare le responsabilità relative alla comunicazione, come precedentemente indicato.
Come può il MOP favorire l’integrazione tra sistemi? - Il MOP di per sé non è uno strumento che richiede l’integrazione dei sistemi, ma ben si presta a favorirla, mediante il richiamo alle procedure e all’identificazione di responsabilità che impattano su normative, sia cogenti che volontarie. Inoltre, lo scadenziario, parte integrante del MOP, rappresenta un’altra preziosa misura di accountability, utile a tenere sotto controllo quanto pianificato ma anche ad effettuare verifiche sistematiche sull’adeguatezza delle misure poste in essere.
Il seguente esempio mette in luce quanto i sistemi possano essere facilmente integrabili, permettendo, in tal modo, di attuare sinergie tra le varie funzioni e dare adeguate garanzie alla Direzione, che, di volta in volta, riveste il ruolo di Rappresentante legale, Datore di lavoro, Titolare del trattamento, a seconda del contesto in esame.
Un esempio - Tra i tanti esempi possibili di integrazione tra normative cogenti, volontarie, e sistemi di gestione, ne viene illustrato uno, che si ritiene significativo, riguardante i processi per tenere sotto controllo la contrattualizzazione tra un’organizzazione ed i suoi fornitori di servii in appalto:
Ambito cogente:
- D.Lgs 81/2008 redazione del DUVRI (documento unico di valutazione del rischio interferenziale);
- REG.EU 2016/679 valutazione del fornitore (art. 28 par. 2) atto di designazione a Responsabile del trattamento dei dati.
Ambito volontario:
- UNI ISO 45001:2018 criteri per la gestione degli appaltatori (requisito 8.1.4);
- UNI ISO 37001:2016 criteri per la gestione dei soci in affari tra cui gli appaltatori (requisito 8.5);
- UNI EN ISO 9001:2015 criteri per la valutazione iniziale del fornitore (requisito 8.4.2), contratto con le specifiche di erogazione e di controllo del servizio (requisito 8.4.3) , criteri per la valutazione dinamica del fornitore (requisito 8.4.1);
- UNI CEI EN ISO/IEC 27001:2017 criteri per tenere sotto controllo i dati trattati dai fornitori (controlli A15);
- UNI EN ISO 14001:2021 criteri per la valutazione e la verifica delle autorizzazioni dei fornitori incaricati di specifiche attività che hanno un impatto ambientale, come ad esempio il trasporto e lo smaltimento dei rifiuti ed in particolare di quelli elettronici (requisito 8.1).
L’esempio proposto può essere ulteriormente integrato con riferimenti ad altre normative, a seconda si tratti di un’organizzazione privata o pubblica/partecipata; se privata, si dovranno valutare anche le implicazioni derivanti dal D.lgs 231/2001, il quale richiede che i fornitori si impegnino, tra gli altri, ad adeguare i propri comportamenti a quanto definito nel Codice Etico e nel Modello dell’Organizzazione, che quest’ultima deve rendere disponibile ai fornitori.
Nel caso di organizzazione pubblica/partecipata, va considerato, tra gli altri, anche l’impatto:
- della L. 190/2012 in materia di prevenzione e repressione della corruzione e dell'illegalità nella pubblica amministrazione, che richiede procedure di selezione e rotazione dei fornitori;
- del D.Lgs. 33/2013 in materia di obblighi di pubblicità, trasparenza e diffusione di informazioni da parte delle pubbliche amministrazioni che prevede al pubblicazione di informazioni, nella sezione “trasparenza” del sito della PA/partecipata.
Il MOP ed il Modello aziendale - Il MOP si focalizza sugli aspetti relativi alla protezione dei dati personali, ma in azienda possono essere presenti altri Modelli (come ad esempio quello previsto dal D.lgs 231/2001). Tutti questi Modelli potrebbero essere integrati in un unico Modello aziendale (una sorta di “Modello dei Modelli”…); si tratterebbe di un’ operazione di sintesi utile a tutte le parti interessate.
Conclusione - Tra le varie misure di accountability che un Titolare pone in atto e che un DPO è interessato a sostenere, il MOP è una delle più efficaci tra quelle documentali. Questo strumento non si limita alla documentazione delle attività e quindi a rappresentare un criterio di audit, ma favorisce un’integrazione sinergica di vari aspetti che impattano, in prima battuta, sulla protezione dei dati e, più in generale, sui processi aziendali, fornendo alle parti interessate garanzie sul presidio di quanto posto in atto.