Analisi dei rischi e modello organizzativo di gestione e controllo privacy

Il processo di adeguamento alla normativa sulla protezione dei dati personali, finalizzato a consentire al titolare del trattamento il pieno rispetto di tutti i vincoli normativi in materia di privacy, necessita di una attività preliminare di analisi dei rischi che fonda le basi per la predisposizione di idonei modelli organizzativi per la gestione e il controllo dei dati personali.

In una fase preliminare dell’approccio con la realtà aziendale l’attenzione viene infatti rivolta all’analisi del contesto operativo, delle articolazioni di struttura e dei flussi interni ed esterni di dati personali al fine di evidenziare le eventuali criticità presenti e i rischi connessi alle specifiche attività svolte.

L’analisi dei rischi: un’opportunità oltre la necessità

La predisposizione di una attività di valutazione dei rischi, indipendentemente dal fatto che essa risulti, nel caso specifico, obbligatoria o meno, oltre ad essere necessaria per identificare e codificare i rischi potenzialmente correlati al trattamento dei dati risulta avere uno specifico valore aggiunto: l'opportunità di prevenire l’eventualità che determinate problematiche emergano in uno stadio avanzato del trattamento, esponendo il titolare del trattamento a rischi elevati anche da un punto di vista economico.

Le fasi in cui si sviluppa il processo sono le seguenti:

  • analisi dei rischi, ovvero valutazione oggettiva circa i rischi che comporta il trattamento dei dati e misurazione del grado di rischio;
  • definizione della lista delle criticità;
  • predisposizione del programma di intervento.
Un modello organizzativo per un sistema aziendale conforme alla normativa privacy

Un modello organizzativo per un sistema aziendale conforme alla normativa privacy

Il programma di intervento, predisposto in base alla natura e alla tipologia delle criticità riscontrate, oltre alla mera eliminazione dei comportamenti in contrasto con la normativa, prevede in genere l’elaborazione e l’adozione di specifici modelli di organizzazione e di gestione che assicurino un sistema aziendale conforme alla normativa sulla protezione dei dati personali con riferimento in particolare:

  • all’inquadramento dei ruoli ed alla progettazione condivisa di un organigramma di privacy funzionale al governo di adempimenti ed alla gestione delle criticità;
  • al rispetto degli standard tecnico-strutturali di legge relativi alla tipologia di attività svolta, alle modalità con cui vengono trattati i dati personali, alle attrezzature utilizzate nel processo di gestione del flusso di dati e ai conseguenti adempimenti privacy da porre in essere (informative, consensi, nomine, istruzioni, procedure interne, notifiche, misure di sicurezza, ecc…);
  • alla attività di informazione e formazione delle figure interne di riferimento (management, responsabili e incaricati) finalizzate sia ad un aspetto più operativo di condivisione delle istruzioni di condotta in applicazione del modello sia alla creazione di una vera e propria “cultura” aziendale in materia di diritto alla protezione dei dati personali;
  • all’introduzione di un idoneo sistema di controllo sull'attuazione del modello stesso e sul mantenimento nel tempo delle condizioni di idoneità delle misure adottate in grado di monitorare come le misure preventive si siano integrate nel concreto nei processi/trattamenti introdotti.

 

La nostra consulenza

In particolare, il nostro team di professionisti formato da Dottori Commercialisti, Avvocati, esperti di organizzazione aziendale ed informatici predispone un processo di adeguamento alla normativa sulla protezione dei dati personali personalizzato in base alle caratteristiche della realtà aziendale di riferimento.

In linea generale una prima fase riguarda come visto l’attività di analisi dei rischi generati dal trattamento dei dati aziendali che viene effettuata in funzione della natura, del campo di applicazione, del contesto e delle finalità del trattamento stesso e pone le basi per l’adeguamento personalizzato delle politiche di trattamento dei dati personali.

In relazione a quanto emerso in sede di analisi, l’attività di consulenza si sostanzia quindi in una serie coordinata di azioni che possono riguardare, a seconda degli aspetti critici rilevati, la revisione della documentazione (informative e formule di consenso da rendere agli interessati, deleghe privacy agli addetti, atti di nomina degli incaricati del trattamento e/o del responsabile del trattamento, contrattualistica, ecc..), l’introduzione di nuove procedure interne (raccolta, trattamento, archiviazione, comunicazione, ecc..) e/o la modifica ed implementazione di quelle già in essere, la strutturazione di specifiche privacy policies e ogni altra attività tesa a garantire al titolare del trattamento il pieno rispetto di tutti i vincoli normativi in materia di privacy.

L’elaborazione infine di un modello di organizzazione, gestione e controllo che riassuma e standardizzi per il futuro un nuovo assetto aziendale in grado di recepire tutte le procedure sopra esposte, chiude virtualmente il processo di adeguamento fornendo alle figure interne di riferimento (responsabili e incaricati) lo stato raggiunto e i suggerimenti per un mantenimento attivo di tale assetto virtuoso.

Tweet
Pin
Condividi
+1
0 Condivisioni