Politica di accuratezza e qualità dei dati personali identificabili

La Politica di accuratezza e qualità dei dati personali identificabili definisce come un’organizzazione mantiene accuratezza, completezza, attualità, adeguatezza e pertinenza delle informazioni personali identificabili trattate nell’ambito del Sistema di gestione delle informazioni sulla privacy. La finalità dichiarata è assicurare che i dati personali identificabili utilizzati dall’organizzazione restino accurati e idonei alle finalità del trattamento registrate nel PIMS, e che i dati personali identificabili inesatti, incompleti, obsoleti o contestati siano corretti, sincronizzati o sottoposti a escalation mediante evidenze controllate. La politica si applica ai contesti di titolare del trattamento, contitolare del trattamento, responsabile del trattamento e sub-responsabile, con gli obblighi del titolare del trattamento trattati come primari e gli obblighi del responsabile del trattamento o del sub-responsabile applicabili quando l’organizzazione supporta istruzioni del titolare del trattamento relative a correzione, sincronizzazione o accuratezza. La politica è strutturata attorno a controlli operativi pratici, non a un programma autonomo di qualità dei dati. Non crea espressamente un registro separato della qualità dei dati, una funzione di governance dei dati master, un quadro di riferimento per la qualità dei dati analitici o un quadro di riferimento per la qualità dei dati di addestramento dell’IA. Integra invece i requisiti di accuratezza e qualità nelle registrazioni e nei workflow PIMS esistenti. REG02 è utilizzato per registrare la titolarità dell’accuratezza, la fonte autorevole, gli indicatori di registrazione ad alto impatto, la frequenza di riesame dell’accuratezza, i metodi di controllo dell’accuratezza, i collegamenti di sistema e gli indicatori di dati obsoleti. REG06 è utilizzato per le richieste di correzione originate dall’interessato e per gli elementi di correzione accettati. REG08 supporta le attribuzioni tra contitolari del trattamento, gli obblighi di supporto alla correzione del cliente, i canali autorizzati per le istruzioni, le evidenze del responsabile del trattamento e del sub-responsabile, le notifiche ai destinatari e le conferme a valle. REG12 consolida stato del monitoraggio, lacune, eccezioni, non conformità, azioni correttive ed evidenze del riesame della direzione. Un elemento centrale della politica è il concetto di registrazione ad alto impatto. La politica lo definisce come una registrazione di dati personali identificabili utilizzata per concedere, negare, modificare o incidere in modo sostanziale sull’accesso a un servizio, contratto, questione occupazionale, esito finanziario, esito relativo alla salute, decisione di idoneità, decisione di identità, decisione di rischio o altra decisione in cui dati personali identificabili inesatti potrebbero incidere in modo sostanziale su un interessato. Queste registrazioni ricevono controlli specifici: devono essere classificate in REG02 prima dell’avvio del trattamento da parte del titolare del trattamento e successivamente ogni anno, riesaminate almeno annualmente e controllate prima dell’affidamento quando le date di riesame sono scadute. I proprietari dei sistemi devono identificare gli indicatori di dati obsoleti per le registrazioni di sistema ad alto impatto prima della messa in esercizio ed entro 30 giorni da una modifica sostanziale del sistema. Quando i problemi di accuratezza ad alto impatto restano irrisolti, sono ricorrenti o superano le date di scadenza approvate, la politica richiede l’escalation in REG12 e, ove necessario, verso l’alta direzione. Il workflow di correzione collega la gestione dei diritti privacy, la validazione aziendale e l’applicazione tecnica. Le richieste di correzione originate dall’interessato sono collegate da REG06 all’attività di trattamento REG02 interessata entro cinque giorni lavorativi dall’assegnazione. Gli elementi di correzione accettati devono essere assegnati sia al Proprietario del processo o Titolare dell’attività sia al Proprietario del sistema o Proprietario dell’applicazione entro due giorni lavorativi dall’avvio del riesame sostanziale. Il Proprietario del processo valida le correzioni proposte rispetto alla fonte autorevole, alla finalità del trattamento e alla registrazione REG02 corrente entro 10 giorni lavorativi, mentre il Proprietario del sistema applica le correzioni approvate nel sistema sorgente e registra il completamento in REG06 e REG02 entro cinque giorni lavorativi dall’approvazione o entro la data di scadenza approvata. La politica richiede inoltre pareri documentati prima del rifiuto della correzione, della chiusura contestata o delle decisioni di correzione ad alto impatto, e instrada la cancellazione, la restrizione della conservazione, l’eliminazione o i risultati limitati al solo smaltimento verso il workflow correlato quando la sola correzione non è l’esito richiesto. Sono inoltre trattati esplicitamente sincronizzazione e supervisione. Prima di applicare una correzione approvata, devono essere identificati in REG02 i sistemi sorgente rilevanti, le applicazioni collegate, le repliche, le interfacce e i report. Le correzioni approvate devono poi essere sincronizzate in tutti i sistemi identificati e inclusi nell’ambito, mentre destinatari, responsabili del trattamento o parti di condivisione dei dati sono tracciati tramite REG08 quando sono necessari aggiornamenti a valle. Le metriche trimestrali includono la percentuale di attività di trattamento REG02 ad alto impatto con riesame dell’accuratezza corrente, gli elementi di correzione aperti e scaduti da REG06 e le mancate sincronizzazioni irrisolte da REG08 e REG12. Le eccezioni devono essere richieste, valutate, limitate nel tempo a non più di 90 giorni e chiuse o rivalutate. La politica è riesaminata annualmente ed entro 30 giorni da una modifica sostanziale legale, del trattamento, del sistema o dell’ambito di certificazione, con le modifiche sostanziali approvate dall’alta direzione prima della pubblicazione.