Politica di protezione dei dati e privacy

La Politica di protezione dei dati e privacy (P17) stabilisce un quadro completo per la protezione dei dati personali e l’implementazione dei principi di privacy-by-design in tutta l’organizzazione. Questa politica definisce i requisiti organizzativi e tecnici obbligatori necessari per rispettare standard internazionali e quadri normativi in evoluzione, garantendo che i dati personali siano trattati in modo lecito, sicuro e trasparente lungo l’intero ciclo di vita. La copertura si estende a tutte le unità organizzative, al personale e ai sistemi che trattano dati personali, su supporti fisici o digitali, e include servizi cloud, piattaforme SaaS e dispositivi mobili. La politica è esplicita nel proprio campo di applicazione, chiarendo che tutti i dipendenti, i contraenti e le terze parti sono soggetti ai suoi requisiti. Sono inclusi tutti gli ambienti in cui risiedono dati personali: produzione, sviluppo, test o backup. La politica affronta non solo la raccolta, la conservazione e l’uso dei dati personali, ma anche lo smaltimento, i trasferimenti transfrontalieri e la gestione dei diritti degli interessati. Un obiettivo centrale della politica è garantire la conformità alle principali normative e norme: GDPR (Articoli 5, 6, 12–23, 25, 28, 30, 32–34; Considerando 78), EU NIS2, EU DORA, ISO/IEC 27001:2022 (Clausole 5.1, 6.1.3, 8.1, 10.1), ISO/IEC 27002:2022 (Controlli 5.34, 8.10, 8.11), NIST SP 800-53 Rev. 5 (vari controlli) e COBIT 2019 (APO12, DSS01, DSS05, MEA). A tal fine, impone l’assegnazione di ruoli e strutture di responsabilità: l’Alta Direzione assicura la supervisione strategica; il DPO coordina i processi di conformità, l’applicazione dei diritti degli interessati e l’interazione con le autorità di controllo; e Sicurezza, Funzione legale e compliance, Proprietari degli asset informativi e operazioni IT implementano congiuntamente misure di salvaguardia tecniche e organizzative, mantengono registri e gestiscono le violazioni. La politica richiede un quadro di governance della privacy formale integrato con il Sistema di gestione della sicurezza delle informazioni (SGSI) dell’organizzazione per un’applicazione coerente. Delinea i processi per mantenere registri dei rischi privacy, condurre DPIA per trattamenti ad alto rischio e garantire che i controlli privacy (dalla protezione e minimizzazione dei dati e pseudonimizzazione fino alla pianificazione della conservazione e allo smaltimento sicuro) siano profondamente integrati. Il trattamento lecito e le basi giuridiche documentate sono fondamentali, con gestione esplicita del consenso, degli inventari dei dati e dei flussi di dati transfrontalieri. Le richieste degli interessati sono gestite entro tempistiche definite e registrate per la tracciabilità; inoltre sono descritti in dettaglio solidi quadri per la gestione delle violazioni, la gestione delle eccezioni e la vigilanza sulle terze parti. Riesami regolari, tracce di audit e un requisito di audit interni annuali (o ad hoc) contribuiscono a garantire che la politica rimanga efficace e reattiva ai cambiamenti normativi, alle risultanze dell'audit o a incidenti rilevanti. Ogni aggiornamento significativo deve essere approvato dall’Alta Direzione e documentato nel SGSI. Questa politica costituisce una parte integrante del più ampio sistema di Sicurezza delle informazioni e gestione del rischio dell’organizzazione, collegandosi strettamente a politiche complementari su Risposta agli incidenti, gestione del rischio, classificazione, conservazione, mascheramento dei dati e monitoraggio continuo della conformità.