NEWS

MOP: finalità ed applicazione pratica dello scadenziario privacy

Tra le misure di accountability che un’organizzazione deve considerare, lo scadenziario, parte integrante del MOP, (Modello Organizzativo Privacy), necessita un’opportuna riflessione.

Ing. Monica Perego

(Nella foto: l'Ing. Monica Perego, docente al Corso "MOP: il Modello Organizzativo Privacy")

Lo strumento segnala la necessità di effettuare delle verifiche per controllare che le misure previste siano state effettivamente applicate e risultino efficaci (vedi anche GDPR art. 32 par. 1d).In altri termini, è una misura di “secondo livello” ovvero che “controlla altre misure”.

Si tratta di uno strumento, di norma mappato dal MOP, che può essere attivato tramite l’agenda digitale o altre soluzioni, anche in modo condiviso tra più funzioni, affinché l’assenza di una di esse non precluda il monitoraggio delle scadenze.

La gestione dello scadenziario - Lo scadenziario non è uno strumento complesso da gestire; è necessario però configurarlo nel modo ottimale per la singola organizzazione, infatti una buona impostazione, per tale misura di accountability, considera un complesso di elementi che ovviamente variano in relazione alle specificità dell’organizzazione.

Può essere gestito sotto la supervisione del Referente Privacy, che deve gestire le scadenze di sua competenza e raccordarsi con il Titolare del Trattamento, il Data Protection Officer ed altre funzioni aziendali in relazione alle rispettive competenze.  Per ogni scadenza bisogna definire:

- la frequenza di controllo dell’adempimento
- la funzione che ha in carico l’adempimento
- la registrazione dell’ultimo controllo eseguito e se possibile l’esito del controllo (non sono state necessarie modifiche/sono state effettuate modifiche)

Per quanto concerne la frequenza dei controlli, fermo restando la specificità di ogni organizzazione, essa si può stimare in un anno per ogni adempimento; un tempo più lungo esporrebbe in modo eccessivo l’organizzazione al rischio di non disporre di documenti aggiornati; un tempo più breve comporterebbe un carico di lavoro eccessivo.

Uno strumento del MOP - Lo scadenziario privacy: finalità ed applicazione pratica

Inoltre, in accordo con una procedura che rispetti il principio di privacy by design previsto dal GDPR:

- quando si introduce un nuovo trattamento o lo si modifica bisognerebbe valutare in modo sistematico se tale trattamento comporta un aggiornamento dello scadenziario (introduzione o modifica di una nuova scadenza); ad esempio, se si è introdotto un trattamento in contitolarità ad intervalli, andrebbe verificato se le condizioni alla base dell’accordo di contitolarità sono ancora valide.

Analogamente:

- in caso di modifica di una procedura aziendale, se l’organizzazione decide di introdurre con frequenza annuale il “giorno della cybersecurity”, con l’obiettivo di sensibilizzare ad intervalli il personale sul tema, bisognerebbe aggiornare lo scadenziario, nonché la procedura sulla formazione/sensibilizzazione del personale;
- se si pianifica, per la prima volta, attività di audit presso i fornitori che rivestono il ruolo di responsabili del trattamento, nello scadenziario deve essere introdotto tale controllo (verifica della redazione del piano di audit di seconda parte, dello stato di avanzamento degli audit e della consuntivazione).

Gli elementi da considerare - Una volta compresa la finalità dello scadenziario, gli elementi da considerare, suddivisi in macro argomenti, potrebbero essere quelli di seguito riportati; ovviamente la lista proposta deve essere valutata nel contesto di ogni singola organizzazione così come la frequenza con cui effettuare le verifiche.

La proposta di seguito illustrata contempla anche alcune misure sotto forma di requisiti e di controlli, come previsto dalla ISO/IEC 27001:2013 e dalla ISO/IEC 27701:2019. Ovviamente, per un’organizzazione che non applica tali standard le scadenze mutuate dai requisiti e controlli di tali norme, possono essere omessi in tutto o in parte per quanto si configurano come misure di accountability.

Infine, va sottolineato che sia la ISO/IEC 27001:2013 che la ISO/IEC 27701:2022 non citano esplicitamente lo scadenziario come strumento, ma in più controlli cita i termini quali: “cambiamenti” (es. controlli A12.1.2, A.14.2.3), “periodicamente” (es. controllo A13.2.4), “riesaminare” (es. controlli A12.4.1, A12.4.3,).

Data Protection Officer - Per quanto riguarda il DPO, se non nominato, almeno una volta anno occorre controllare che sussistono ancora le condizioni che non ne prevedono la nomina. Se nominato controllare che:

- la nomina sia adeguata, siano mantenuti ed aggiornati i flussi, il budget ed il regolamento per il DPO
- il DPO abbia predisposto tutti i documenti a suo carico e che siano archiviati (verbali, relazione fine anno, ecc.) – per approfondire di il tema della documentazione a carico del DPO
- lo stato di avanzamento delle azioni richieste dal DPO a seguito incontri (vedi verbali) e/o audit
- non sia in scadenza il mandato e se del caso va rinnovato/individuato altro DPO

Come nel caso degli adempimenti relativi al DPO, possono essere tenuti sotto controllo per mezzo dello scadenziario tutta una serie di adempimenti tra cui quelli relativi ad analisi dei rischi e valutazioni sui trattamenti, al registro dei trattamenti, ai profili di autorizzazione/accessi degli addetti, agli aggiornamenti delle normative (compresi provvedimenti del Garante), facility, contratti e atti di designazione, Non Disclosure Agreement (NDA), piani di continuità operativa/disaster recovery, non conformità, azioni correttive, preventive, e di miglioramento, audit, etc., fermo restando che ogni realtà deve poi andare a configurare il suo modello sulla base del contesto in cui opera.

Conclusioni - Lo scadenziario, come visto, è una reale misura di accountability in quanto permette ad intervalli di verificare l’adeguatezza degli adempimenti che in molti casi hanno la valenza di misure. Tali misure hanno carattere prevalentemente organizzativo. Un’organizzazione complessa non può prescindere da considerare tale strumento, parte integrante del MOP, come una misura da mettere in campo per garantire un reale e costante controllo dei processi.

In sintesi lo scadenziario si configura come un ciclo PDCA dove le azioni sono:

• Plan – definire e pianificare i controlli da monitorare tramite lo strumento dello scadenziario;
• Do – eseguire i controlli;
• Check – controllare l’efficacia dello strumento;
• Act – standardizzare lo scadenziario.

Note sull'Autore

Monica Perego Monica Perego

Membro del Comitato Scientifico di Federprivacy, docente qualificato TÜV Italia e docente del Master per Esperto Privacy e del Corso di alta formazione per Data Manager - Twitter: monica_perego

Prev Direttiva NIS 2: le nuove sfide della cybersecurity
Next Il dovere di produzione degli estratti conto secondo la riforma Cartabia e il principio di minimizzazione dei dati

Il presidente di Federprivacy a Rai Parlamento

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy