Politica di gestione dei diritti degli interessati

La Politica di gestione dei diritti degli interessati stabilisce l’approccio obbligatorio dell’organizzazione per gestire le richieste provenienti dagli interessati o dai loro rappresentanti autorizzati. Il suo ambito copre l’intero ciclo di vita della gestione delle richieste di esercizio dei diritti: ricezione, validazione, valutazione, soddisfacimento, rifiuto, proroga, chiusura, monitoraggio e produzione delle evidenze. Si applica ad accesso, rettifica, cancellazione, limitazione, portabilità, opposizione, processo decisionale automatizzato, instradamento della revoca del consenso, reclami e richieste correlate. La politica è progettata per i contesti di titolare del trattamento, contitolare del trattamento, responsabile del trattamento e sub-responsabile; i doveri del responsabile del trattamento e del sub-responsabile si applicano quando viene fornito supporto a un titolare del trattamento, a un cliente o a un responsabile del trattamento a monte sulla base di istruzioni documentate. La finalità della politica è garantire che le richieste di esercizio dei diritti degli interessati siano gestite in modo coerente, lecito e sicuro, entro tempi definiti e con evidenze pronte per l’audit. Ogni richiesta deve essere registrata in REG06 entro due giorni lavorativi dal ricevimento e classificata prima dell’avvio della valutazione. I campi di classificazione richiesti includono tipo di richiesta, canale della richiesta, data della richiesta, riferimento dell’identità del richiedente, proprietario assegnato, data di scadenza interna, data di scadenza legale o contrattuale e stato corrente. Per i titolari del trattamento, il Responsabile privacy / Responsabile PIMS deve confermare la ricezione o fornire la successiva comunicazione richiesta entro cinque giorni lavorativi dall’acquisizione. Le richieste devono inoltre essere collegate alle pertinenti attività di trattamento REG02 prima dell’assegnazione delle azioni di soddisfacimento, in modo che le decisioni di risposta siano basate su registrazioni dei trattamenti, finalità del trattamento, categorie di dati personali, sistemi, destinatari e vincoli di conservazione. Un elemento operativo centrale è la verifica dell’identità e la valutazione sicura. Prima di comunicare dati personali o apportare le modifiche richieste, il Responsabile privacy / Responsabile PIMS deve verificare in REG06 l’identità del richiedente o l’autorità del rappresentante. Quando l’identità o l’autorità non è sufficiente, possono essere richieste solo le informazioni aggiuntive minime necessarie per la verifica. La politica assegna al Responsabile della protezione dei dati / Consulente privacy il riesame delle richieste ad alto rischio, contestate, non chiare, eccessive, ripetute, rifiutate o soddisfatte parzialmente prima che la decisione sia comunicata. Richiede inoltre il riesame del proprietario del sistema / proprietario dell’applicazione sugli estratti di risposta, per escludere dati personali non pertinenti e dati di terze parti non autorizzati, nonché il riesame del Responsabile della sicurezza delle informazioni sui metodi di consegna prima della comunicazione di dati personali in grandi volumi, sensibili, appartenenti a categorie particolari o ad alto rischio. I requisiti di soddisfacimento sono specifici in base alla natura del diritto. I titolari dell’attività devono fornire i risultati delle ricerche per l’accesso non oltre dieci giorni lavorativi prima della scadenza della risposta. I proprietari dei sistemi devono completare le azioni approvate di rettifica, cancellazione, limitazione o soppressione e registrare in REG06 le evidenze del completamento. I pacchetti di risposta per accesso e portabilità devono essere consegnati tramite un metodo autorizzato, con evidenza della consegna registrata prima della chiusura. Le richieste di opposizione devono essere valutate e registrate prima che il trattamento contestato prosegua o sia interrotto. Le richieste che riguardano decisioni esclusivamente automatizzate richiedono un riesame prima che l’organizzazione fornisca un esito, un percorso di riesame umano o la motivazione del rifiuto. Quando gli esiti approvati richiedono la notifica a responsabili del trattamento, sub-responsabili, contitolari del trattamento, destinatari o parti di condivisione dei dati registrati in REG08, il Titolare Fornitori / Approvvigionamento deve coordinarne la notifica. La politica definisce inoltre requisiti di governance, misurazione, eccezione e applicazione. Il Responsabile privacy / Responsabile PIMS è titolare del workflow delle richieste di esercizio dei diritti, della struttura REG06, delle scadenze, delle regole di assegnazione e dei criteri di chiusura, con riesame almeno annuale e aggiornamenti dopo modifiche sostanziali. Le metriche includono la misurazione mensile delle richieste per tipo, stato, titolare dell’attività e attività di trattamento, la reportistica mensile degli elementi scaduti, la misurazione trimestrale dei tassi di rifiuto, soddisfacimento parziale e proroga, nonché il riesame trimestrale di temi ricorrenti, reclami, controversie e azioni correttive. Gli audit pianificati devono campionare le registrazioni REG06 chiuse e registrare in REG12 le risultanze su qualità delle evidenze, tempestività e chiusura. Le eccezioni devono essere approvate in REG12 prima dell’applicazione, con date di scadenza, proprietari e controlli compensativi assegnati. Le disposizioni di applicazione richiedono la gestione delle non conformità, l’escalation della mancata cooperazione delle terze parti, l’assegnazione da parte della direzione della titolarità delle azioni correttive per fallimenti sistemici e il riesame REG10 quando una non conformità suggerisce una comunicazione non autorizzata, perdita, alterazione, indisponibilità o un altro incidente relativo ai dati personali sospetto.