Il Modello Organizzativo per la Protezione dei Dati (c.d. MOP) è uno strumento di accountability, utile anche per dare evidenza di come l’Organizzazione che lo adotta intenda integrare la normativa cogente (sia generalista che di settore), come i sistemi di gestione volontari, favorendo efficaci modalità di comunicazione. L’integrazione tra sistemi è un tema di grande attualità, a cui sono dedicati standard specifici, come la recente ISO 37301:2021 “Sistemi di gestione per la compliance - Requisiti con guida per l'utilizzo”, che fornisce le “Linee guida per istituire, sviluppare, attuare, valutare, mantenere e migliorare un efficace sistema di gestione per la compliance all'interno di un'organizzazione”.
Il Modello Organizzativo Privacy (MOP) è parte integrante del Modello Organizzativo sia di un'azienda privata che di una Pubblica Amministrazione. Per quanto il MOP non sia un documento espressamente richiesto dal Regolamento UE 679/2016 (GDPR) può essere considerato un'importante misura di accountability.
Ogni impresa o Pubblica Amministrazione che riveste il ruolo privacy di titolare del trattamento, nel predisporre un modello organizzativo privacy e, comunque, prima di definire un percorso di conformità al GDPR deve necessariamente innestare, sull’architettura generale della propria organizzazione, una specifica struttura organizzativa privacy, attribuendo ad ogni entità, nell'ambito del proprio assetto organizzativo, ruoli e responsabilità funzionali a presidiare i dati personali. Facendo ricorso ad una metonimia, si può dire che il titolare deve predisporre un organigramma ed un funzionigramma privacy.
Tra le misure di accountability che un’organizzazione deve considerare, lo scadenziario, parte integrante del MOP, (Modello Organizzativo Privacy), necessita un’opportuna riflessione. Lo strumento segnala la necessità di effettuare delle verifiche per controllare che le misure previste siano state effettivamente applicate e risultino efficaci (vedi anche GDPR art. 32 par. 1d). In altri termini, è una misura di “secondo livello” ovvero che “controlla altre misure”.
Frequentemente viene citato, come misura di accountability, il “MOP”, acronimo di “Modello Organizzativo Privacy”, che alcuni indicano anche come “Manuale Operativo Privacy”. Si tratta di un documento che ha la finalità primaria di dare evidenza delle azioni poste in atto da un’organizzazione per far fronte agli adempimenti in materia di protezione dei dati. In realtà tale documento potrebbe avere scopi ben più ampi, come viene illustrato nell’articolo.
La gestione aziendale della protezione dei dati personali comporta varie complessità dal punto di vista legale, organizzativo e tecnologico, e l'art. 24 del GDPR prescrive che "il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al Regolamento (UE 2016/679). Dette misure sono riesaminate e aggiornate qualora necessario". Ciò richiede un congruente apparato documentale.
