Politica sulla protezione dei dati fin dalla progettazione e per impostazione predefinita

La Politica sulla protezione dei dati fin dalla progettazione e per impostazione predefinita definisce come i requisiti privacy devono essere integrati nelle attività di trattamento dei dati personali nuove e modificate all’interno dell’ambito di applicazione del PIMS. Si applica a progetti, prodotti, servizi, sistemi, applicazioni, integrazioni, attività di approvvigionamento e modifiche dei processi aziendali. La politica è redatta per contesti di titolare del trattamento, contitolare del trattamento, responsabile del trattamento e sub-responsabile, incluse le situazioni in cui l’organizzazione progetta, configura, modifica o gestisce trattamenti per conto di un cliente, di un titolare del trattamento o di un responsabile a monte sulla base di istruzioni documentate. La sua finalità principale è garantire che i requisiti privacy siano identificati, attuati e documentati prima che inizi il trattamento dei dati personali o prima di modifiche sostanziali. La politica pone particolare attenzione a finalità, necessità, minimizzazione e impostazioni predefinite a tutela della privacy. I Proprietari del processo e i titolari dell'attività devono documentare in REG02 e REG04 le categorie minime di dati personali, le categorie di interessati, le fonti e le finalità prima dell’approvazione della progettazione della raccolta o dell’importazione. I proprietari dei sistemi e i Proprietari delle applicazioni devono configurare le impostazioni predefinite di trattamento limitandole alla raccolta e al trattamento minimi dei dati personali necessari per la finalità documentata e devono registrare le evidenze in REG04 prima della messa in esercizio. I campi opzionali relativi ai dati personali, le scelte opzionali di trattamento, le impostazioni disattivate per impostazione predefinita, le impostazioni di esposizione per visualizzazioni e report, e la gestione di file temporanei, cache, log o registrazioni in ambiente di staging sono trattati come obblighi privacy della fase di progettazione, non come correzioni operative successive. Il collegamento tra rischio privacy e DPIA è integrato nel processo di progettazione senza sostituire la metodologia separata definita in PII07. Il Privacy Lead / Responsabile del PIMS deve confermare che il rischio privacy e lo screening DPIA siano registrati in REG04 prima dell’approvazione della progettazione per trattamenti di dati personali nuovi o modificati in modo sostanziale. Le azioni di trattamento della progettazione privacy, i relativi proprietari e le date di scadenza devono essere registrati prima della chiusura del riesame, e le evidenze di attuazione devono essere acquisite prima della messa in esercizio. Per trattamenti svolti dal titolare del trattamento ad alto rischio o modificati in modo sostanziale, la politica richiede inoltre un controllo di progettazione privacy post-implementazione in REG04 entro 30 giorni di calendario dalla messa in esercizio. Quando le questioni di progettazione risultano mancanti, inefficaci, scadute o eluse, viene aperta un’azione correttiva in REG12. La politica estende inoltre la protezione dei dati fin dalla progettazione all’approvvigionamento e ai rapporti con terze parti. I Responsabili dei fornitori e dell’approvvigionamento devono registrare in REG08 i requisiti di protezione dei dati fin dalla progettazione per fornitori, responsabili del trattamento, sub-responsabili, servizi SaaS, piattaforme o sistemi ospitati esternamente prima dell’approvazione dell’approvvigionamento. La necessità, la finalità e le categorie minime di dati personali relative a terze parti devono essere documentate prima del trattamento esterno, della condivisione dei dati o dell’approvazione dell’approvvigionamento. Il supporto dei fornitori per impostazioni predefinite per la privacy, minimizzazione ed esigenze di configurazione del cliente deve essere registrato prima dell’onboarding, mentre le lacune di progettazione privacy dei fornitori non risolte sono oggetto di escalation tramite REG12 entro cinque giorni lavorativi e prima della firma del contratto. Governance, monitoraggio, applicazione e manutenzione sono definiti mediante evidenze ricorrenti e cicli di riesame. Il Privacy Lead / Responsabile del PIMS presenta in REG12 sintesi trimestrali dello stato della progettazione privacy, calcola metriche di completamento e di azioni scadute e verifica che le evidenze di progettazione restino consolidate in REG02, REG04, REG08 e REG12 prima dell’audit interno. L’alta direzione riesamina le eccezioni ad alto impatto, le decisioni di messa in esercizio bloccate e le risultanze ricorrenti durante il riesame della direzione. Le disposizioni di applicazione richiedono di impedire la messa in esercizio quando il riesame REG04 è incompleto, di impedire l’onboarding quando mancano le evidenze REG08 e di sospendere i trattamenti di dati personali nuovi o modificati finché il riesame REG04, gli aggiornamenti REG02 e le eccezioni REG12 richieste non siano completi.