I quattro errori da evitare nella redazione del MOP

Con l'entrata in vigore del GDPR, tutte le organizzazioni devono dotarsi di un sistema di gestione finalizzato a stabilire le politiche e le procedure interne al fine di conseguire gli obiettivi del rispetto della normativa in materia di protezione dei dati personali e del rispetto dei diritti degli interessati.

Il modello organizzativo privacy è un sistema di documentazione del sistema di gestione privacy. Redigere questo modello, però, non rientra fra gli adempimenti obbligatori imposti dalla normativa: possiamo considerare il modello organizzativo privacy più come una misura di accountability ovvero di “responsabilizzazione/rendicontazione”.

Ma cos'è esattamente il MOP - Modello Organizzativo Privacy? Vediamolo.

Che cos'è il Modello Organizzativo Privacy?

Possiamo definire il MOP - Modello Organizzativo Privacy - come quel documento che racchiude un insieme di regole e procedure e che ha la finalità di dimostrare le azioni poste in essere dall’organizzazione per far fronte agli adempimenti in materia di protezione dei dati.

Il MOP riveste il medesimo scopo dell'icona “io sono qui” riportata sulle cartine o sulle mappe: dà la possibilità di orientarsi circa tutte le procedure e le misure adottate dall'organizzazione nel percorso di adeguamento al GDPR, con la relativa documentazione, per questo deve essere portato a conoscenza di tutti i soggetti che operano nell’organizzazione e che sono coinvolti nelle attività di trattamento dei dati personali.

L’adozione di questo modello, inoltre, permette all’organizzazione di rispettare il dovere di collaborazione con le autorità di controllo.

Chiaramente non esiste un formulario unico che vada bene per ogni realtà organizzativa, ma la redazione del modello dovrà avvenire “su misura” della singola organizzazione. Possiamo però enucleare almeno i contenuti di base del MOP che dovrà comprendere:

• la descrizione dell’organizzazione e la tipologia dei trattamenti di dati personali effettuati (specificando l'eventuale esistenza di disposizioni normative privacy specifiche per il settore di appartenenza o di certificazioni dell'organizzazione);
• la descrizione dei ruoli, delle funzioni e delle responsabilità del Titolare del Trattamento, del DPO e dei soggetti delegati/incaricati/designati al trattamento dati personali;
• i rapporti contrattuali (con la relativa documentazione) tra Titolare, Contitolari, Responsabili del Trattamento e DPO e gli atti di nomina degli autorizzati interni al trattamento, con le relative competenze, ruoli e responsabilità;
• le informative privacy per le varie tipologie di interessati (clienti, dipendenti, fornitori, utenti esterni...) con le procedure per l’esercizio dei relativi diritti; i moduli di consenso al trattamento;
• il registro dei trattamenti, il regolamento informatico aziendale e le attività di formazione del personale;
• la procedura di valutazione di risk assessment e la procedura di valutazione di impatto (DPIA) dei trattamenti previsti sulla protezione dei dati in presenza di rischi elevati per i diritti e le libertà degli interessati e le procedure di mitigazione del rischio;
• le prassi operative in caso di data breach, con i modelli di notifica al Garante in caso di violazione di dati e di comunicazione agli interessati con il modello di richiesta di esercizio dei diritti degli interessati e di riscontro da parte dell’organizzazione;
• l’eventuale adozione di codici di condotta e/o modelli organizzativi L. 231/2001.

Per scongiurare il rischio che il modello organizzativo possa diventare solo l'ennesimo fardello burocratico, invece che una dimostrazione della “responsabilizzazione” del titolare del trattamento, vediamo qui di seguito quali sono gli errori da evitare durante la stesura del MOP.

Errori da evitare nella stesura del MOP

Durante la stesura del Modello Organizzativo Privacy bisogna evitare i seguenti errori:

 1. Il MOP non è un cumulo di documenti da chiudere in un cassetto.

Lo scopo del modello organizzativo non è quello di “fotografare” l’attività svolta dal titolare del trattamento né quello di collezionare documenti (gli atti di designazione, le informative, il regolamento informatico ecc...) ma quello orientare e fornire i soggetti coinvolti nel trattamento dei dati, di un punto di riferimento nelle procedure e nella documentazione adottata dall'organizzazione.

In questo modo in fase di audit (o di ispezione!) nessun incaricato o responsabile si sentirà “smarrito” ma anzi avrà una visione complessiva della situazione dell'ente, potrà motivare il perché di alcune scelte che hanno determinato l'adozione di specifiche misure e anche se queste verranno poi giudicate errate dall'autorità, il solo fatto di averle “rendicontate”, testimonierà lo sforzo di analisi delle proprie risorse e del rapporto costi/benefici dell'organizzazione.

L'importante è capire che redigere il MOP e la documentazione in esso contenuta, rappresenta un punto di partenza e non di arrivo, perché il modello consta, oltre che di parte statica (il “pacchetto” di documenti, informative ecc...), anche di una parte dinamica (l'aggiornamento delle informative o del registro delle attività di trattamento, la predisposizione di una nuova valutazione di impatto ecc...).

Il MOP deve essere coerente e sempre verificato e aggiornato alla luce dei cambiamenti di contesto interni o esterni all'organizzazione. In ragione della sua natura dinamica, dovrà tenere conto delle innovazioni aziendali che possano avere un’influenza sulle attività di trattamento dei dati personali sino a quel momento svolte ma anche delle modificazioni normative e dei provvedimenti delle autorità di controllo. L'introduzione di nuovi trattamenti ad esempio, o l'adozione di nuove tecnologie o il mutare dei rischi impongono una revisione costante del modello stesso.

2. Il MOP non è un capo a taglia unica.

Il modello organizzativo privacy deve essere come un abito sartoriale “tailor made”, tagliato sulle specifiche esigenze dell'organizzazione. Usare formulari generici o peggio, copincollare i modelli organizzativi di altri enti non è solo inutile ma è anche controproducente. Si rischia l'inserimento all'interno del documento, di elementi meramente teorici o ipotetici, la cui probabilità di realizzazione è del tutto remota o circostanze non attinenti la propria organizzazione, rischi e conseguenti misure non pertinenti, con possibili pesanti ripercussioni in caso di controlli. Il MOP deve essere uno strumento utile a ridurre gli eventi che hanno una ragionevole probabilità di verificarsi (o che si sono verificati in passato) o che possono comportare dei rischi per i diritti e le libertà degli interessati, non è, invece, una trattazione meramente dottrinale.

3. Il MOP non deve essere superficiale, ma non va neanche aggravato inutilmente.

Come abbiamo detto, il modello organizzativo privacy è sì espressione del principio di accountability ma non è un adempimento obbligatorio. Lo si redige solo se lo si ritene funzionale per l'organizzazione e solo nella misura in cui questo porti un beneficio all'azienda. Per questo redigere un MOP superficiale, tanto per averlo non ha senso. Piuttosto si può valutare l'adozione di un documento per fasi che si arricchisca di contenuti nel tempo. Allo stesso tempo è privo di senso aggravare la formazione del documento, inserendo atti e modelli non necessari o standardizzati invece che pensati per la singola realtà organizzativa: il MOP, anzi, deve prevedere che siano oggetto di trattamento solo i dati necessari e che sia valutata la portata del trattamento e che siano fissati tempi certi di conservazione. Insomma, il MOP deve essere strutturato come un modello volto al miglioramento progressivo dei processi aziendali, secondo il Ciclo di Deming: ogni nuovo trattamento deve, fin dalla sua progettazione, rispettare la progressione del plan (pianificazione dell'attività da svolgere a seguito dell'analisi del contesto e delle finalità perseguite dal titolare del trattamento) – do (analisi dei processi aziendali necessari per poter raggiungere le finalità prefissate) – check (valutazione dell'efficacia di quanto è stato programmato) – act (analisi di quanto era stato prefissato e i risultati ottenuti mediante documentazione delle attività svolte mediante, appunto, il MOP) avviando di conseguenza la revisione del modello in un ciclo continuo il cui obiettivo finale è quello di trovare un bilanciamento fra gli sforzi che l’organizzazione deve sostenere per redigere il MOP e i benefici che ne può trarre in termini di accountability, rispetto della normativa, miglioramento dei processi, sempre nel rispetto dei diritti e delle libertà degli interessati (e non a caso, la procedura per la gestione dei diritti degli interessati è considerata indispensabile ai fini della conformità al GDPR).

4. Il MOP è coinvolgimento e formazione.

Non sensibilizzare il personale ai temi privacy e nella stesura del MOP sarebbe un grave errore. Le attività appena descritte e tutte le procedure previste nel modello organizzativo privacy devono essere svolte coinvolgendo tutto il personale dell'organizzazione e devono essere oggetto di una formazione mirata perché solo un individuo consapevole e che ha acquisito le giuste competenze può garantire che i processi aziendali vengano svolti in modo efficace. Il GDPR ha, di fatto, introdotto degli obblighi formativi: l’articolo 29 evidenzia come «il responsabile del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del titolare, che abbia accesso ai dati personali non può trattare tali dati se non è istruito in tal senso dal titolare». L’art. 39 (1) (b) del gdpr prevede tra i compiti del DPO quello di «sorvegliare l’osservanza […] delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi […] la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo» e l’art. 32 (4) dispone che «chiunque abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento». L’adozione di un piano di formazione e il coinvolgimento del personale nella compilazione del MOP permetterà all'organizzazione di avere un personale preparato e di gestire/ridurre l’errore umano quale fattore di rischio che può portare delle criticità per l’azienda che potrebbero trasformarsi in danni e perdite (e sanzioni!). La formazione, quindi, rientra a pieno titolo tra le misure di sicurezza atte ad abbattere i rischi connessi alle attività di trattamento.

– Marina Mirabella, Avvocato e collaboratrice di CyberAcademy