Politica sull’inventario dei trattamenti di dati personali e sulla base giuridica

La Politica sull’inventario dei trattamenti di dati personali e sulla base giuridica definisce le modalità con cui un’organizzazione mantiene il proprio inventario dei trattamenti di dati personali / RoPA e documenta gli elementi essenziali necessari a dimostrare un trattamento responsabile nell’ambito di applicazione del PIMS. Si applica a tutte le attività di trattamento di dati personali incluse nell’ambito, compresi i trattamenti svolti in qualità di titolare del trattamento, contitolare del trattamento, responsabile del trattamento o sub-responsabile. La politica copre i trattamenti effettuati tramite processi aziendali, sistemi, applicazioni, fornitori, responsabili del trattamento, sub-responsabili e destinatari della condivisione dei dati, e si applica ai trattamenti nuovi, modificati in modo sostanziale e dismessi. Una registrazione dell’inventario dei trattamenti è definita come una voce REG02 che descrive una distinta attività di trattamento di dati personali, inclusi finalità, ruolo, proprietario, categorie di dati personali, categorie di interessati, riferimento alla base giuridica o all’istruzione del cliente, sistemi, destinatari, riferimento di conservazione, riferimento di trasferimento, stato del rischio privacy e stato del riesame. Un obiettivo centrale della politica è rendere REG02 l’elemento di evidenza autorevole per l’inventario dei trattamenti di dati personali e il registro delle attività di trattamento. La politica richiede che un Proprietario del processo o un Titolare dell’attività crei una registrazione REG02 prima dell’avvio di qualsiasi nuovo trattamento di dati personali e registri i campi richiesti prima dell’inizio dell’attività. Richiede inoltre di classificare il ruolo PIMS dell’organizzazione per ciascuna attività e collega sistemi, applicazioni, fornitori, responsabili del trattamento, sub-responsabili, condivisioni con terze parti e rapporti di contitolarità del trattamento alla registrazione REG02 pertinente. Ciò crea una registrazione strutturata del trattamento che può collegarsi, ove applicabile, a informative privacy, consenso, DPIA, rischio, fornitori, trasferimenti, controlli ed evidenze dell’audit. Per le attività svolte in qualità di titolare del trattamento, la politica richiede che la specifica finalità del trattamento sia documentata prima che i dati personali siano raccolti, utilizzati, comunicati o altrimenti trattati. Il Responsabile privacy / Responsabile del PIMS deve validare la base giuridica registrata in REG02 prima dell’avvio del trattamento da parte del titolare del trattamento e prima che qualsiasi modifica della finalità abbia effetto. La politica disciplina inoltre situazioni particolari: il consenso deve essere collegato a REG05, gli interessi legittimi devono fare riferimento a REG04, le categorie particolari di dati personali richiedono una condizione registrata e i dati relativi a condanne penali o reati richiedono una base autorizzativa. Nei contesti di responsabile del trattamento e sub-responsabile, la politica richiede che i riferimenti alle istruzioni del cliente, la finalità del cliente, l’oggetto, la durata, le categorie di dati personali e le categorie di interessati siano registrati prima dell’avvio del trattamento, con evidenze degli accordi e delle istruzioni mantenute in REG08. La politica definisce inoltre come l’inventario rimane aggiornato. Le modifiche sostanziali del trattamento includono modifiche a finalità, base giuridica, ruolo PIMS, categoria di dati personali, categoria di interessati, destinatario, sistema, fornitore, sub-responsabile, luogo del trattamento, trasferimento, regola di conservazione, classificazione di sicurezza, informativa privacy, dipendenza dal consenso, stato DPIA, istruzione del cliente o ambito di certificazione. REG02 deve essere aggiornato entro 10 giorni lavorativi dall’identificazione di tale modifica, e la valutazione del rischio privacy e lo screening DPIA devono essere avviati in REG04 prima che un trattamento nuovo o modificato in modo sostanziale proceda. Il Responsabile privacy / Responsabile del PIMS riconcilia trimestralmente REG02 con REG01, REG03, REG04, REG08 e REG09, mentre i revisori di Audit interno / Conformità campionano la completezza, l’accuratezza e l’aggiornamento durante i riesami pianificati. Governance, misurazione, eccezioni e applicazione della politica sono integrati nella politica. Il Responsabile privacy / Responsabile del PIMS presenta in REG12 sintesi trimestrali sullo stato di salute dell’inventario, registra metriche dell’inventario, valida le nuove registrazioni REG02 e mantiene regole minime sui campi e sulla cadenza dei riesami. L’alta direzione riesamina completezza, riesami scaduti, problematiche rilevanti relative alla base giuridica e non conformità irrisolte durante il riesame della direzione. Le eccezioni devono essere richieste e valutate in REG12, con date di scadenza non superiori a 90 giorni; alcune eccezioni richiedono il parere del Responsabile della protezione dei dati (DPO) / consulente privacy e l’approvazione dell’alta direzione. L’applicazione della politica include la registrazione delle non conformità, la sospensione di nuovi trattamenti quando mancano le evidenze, il blocco della messa in esercizio di sistemi o dell’onboarding dei fornitori quando il collegamento richiesto è assente e la verifica dell’efficacia delle azioni correttive.