L’organigramma e il funzionigramma nel Modello Organizzativo Privacy
Ogni impresa o Pubblica Amministrazione che riveste il ruolo privacy di titolare del trattamento, nel predisporre un modello organizzativo privacy e, comunque, prima di definire un percorso di conformità al GDPR deve necessariamente innestare, sull’architettura generale della propria organizzazione, una specifica struttura organizzativa privacy, attribuendo ad ogni entità, nell'ambito del proprio assetto organizzativo, ruoli e responsabilità funzionali a presidiare i dati personali.
(Nella foto: Giuseppe Alverone, Data Protection Officer dell'Arma dei Carabinieri. Sarà speaker al Privacy Day Forum 2023)
Facendo ricorso ad una metonimia, si può dire che il titolare deve predisporre un organigramma ed un funzionigramma privacy.
Gli organigrammi sono un buon modo per visualizzare le relazioni di reporting, i meccanismi operativi nonché i ruoli e le responsabilità delle entità all’interno di aziende e pubbliche amministrazioni.
L’organigramma privacy secondo il GDPR - Combinando le indicazioni stabilite nell’art. 4 paragrafo 1, n. (10) e nel Considerando 74 del GDPR è possibile predisporre l’archetipo di un organigramma privacy secondo il GDPR che prevede il titolare come centro decisionale e gli autorizzati, i responsabili del trattamento e sub-responsabili del trattamento come “organi di line”, nonché il DPO come “organo di staff”.
Tale schema è funzionale ad assicurare che il titolare abbia sempre il pieno controllo di tutti i trattamenti, anche di quelli che vengono effettuati per suo conto da altre entità (i.e. i responsabili del trattamento).
Si tratta, però, evidentemente di un organigramma piatto (flat) che descrive una struttura organizzativa con un solo livello di gestione tra il titolare e tutti i dipendenti/autorizzati e gli eventuali responsabili del trattamento/sub responsabili.
Questo tipo di struttura, molto accentrata, è solitamente utilizzata da liberi professionisti o piccole imprese ma evidentemente non appare adeguata a Pubbliche Amministrazioni o imprese medio/grandi.
Per questo motivo il D.Lgs. 101/2018 ha introdotto nel nostro Ordinamento un’efficace leva di ingegnerizzazione organizzativa costituita dall’art. 2 quaterdecies del Codice Privacy novellato.
L’organigramma privacy con designazioni ai sensi dell’art. 2 quaterdecies del Codice Privacy - L’art. 2 quaterdecies del Codice Privacy è una forma di declinazione del principio di accountability, poichè stabilisce che il titolare, sotto la propria responsabilità e nell'ambito del proprio assetto organizzativo, individuando le modalità che ritiene più opportune, può attribuire specifici compiti e funzioni, connessi al trattamento di dati personali, a persone fisiche, espressamente designate, che operano sotto la sua autorità.
Così, sulla base di questa norma, l’impresa o la Pubblica Amministrazione che riveste il ruolo di titolare può modellare, all’interno della propria organizzazione, specifici ruoli ulteriori rispetto a quelli dell’autorizzato e del responsabile del trattamento. Sono particolari ruoli che vengono in genere definiti designato o anche delegato poiché la categoria giuridica utilizzata per l’attribuzione del ruolo è la delega di funzioni.
Utilizzando questa particolare leva è così possibile attribuire, all’interno dell’organizzazione del titolare, ruoli e responsabilità diversificati ed adeguati alle varie esigenze operative.
Così ad esempio i soggetti ai quali è attribuito il potere decisionale circa finalità e mezzi dei trattamenti (i.e. i dirigenti generali nelle P.A. ed il C-Level nelle aziende) potranno assumere il ruolo privacy di “Esercente la funzione di titolare” mentre ai “middle managers” potrà essere attribuito il ruolo di “designato/delegato”.
E’ così possibile disegnare un organigramma ed un funzionigramma privacy più articolato, in cui vengono delineati analiticamente i compiti attribuiti e sono contestualmente individuati ulteriori livelli di responsabilità rispetto all’organigramma “flat” disegnato considerando soltanto le indicazioni stabilite nel GDPR.