Politica del Sistema di gestione delle informazioni sulla privacy

La Politica del Sistema di gestione delle informazioni sulla privacy stabilisce il PIMS dell’organizzazione per il trattamento dei dati personali identificabili nei contesti di titolare del trattamento, contitolare del trattamento, responsabile del trattamento e sub-responsabile. La sua finalità dichiarata è definire requisiti di governance obbligatori per stabilire, attuare, mantenere, monitorare e migliorare continuamente il PIMS. La politica è progettata per supportare una gestione responsabile, basata sul rischio e guidata dalle evidenze del trattamento dei dati personali identificabili nei ruoli PIMS applicabili. Si applica all’ambito di applicazione del PIMS, al contesto organizzativo, alle parti interessate, ai confini, alla determinazione dei ruoli, alla politica privacy, agli obiettivi privacy, alla valutazione del rischio privacy, al trattamento del rischio privacy, alla Dichiarazione di Applicabilità del PIMS, alla governance, al monitoraggio, all’audit interno, al riesame della direzione, alle non conformità, alle azioni correttive e alle evidenze documentate necessarie per dimostrare la conformità e la responsabilizzazione. Un elemento centrale della politica è l’attenzione alla responsabilizzazione definita. L’alta direzione deve approvare l’ambito di applicazione del PIMS in REG01 prima dell’attuazione iniziale ed entro 30 giorni da qualsiasi modifica sostanziale, approvare annualmente la politica e gli obiettivi del PIMS in REG12 e riesaminare prestazioni, rischi aperti, non conformità, azioni correttive e decisioni di miglioramento durante il riesame della direzione. Il Privacy Lead / Responsabile del PIMS mantiene le registrazioni principali del PIMS, incluse le questioni di contesto, le parti interessate, gli obiettivi, la Dichiarazione di Applicabilità, le decisioni di trattamento del rischio, l’indice delle evidenze, le metriche, le eccezioni, le azioni correttive e le registrazioni dei riesami della politica. I Proprietari dei processi classificano il ruolo PIMS dell’organizzazione per ciascuna attività di trattamento dei dati personali identificabili prima dell’inizio del trattamento, mentre i Proprietari dei fornitori / dell’approvvigionamento documentano l’allocazione delle responsabilità del contitolare del trattamento, le istruzioni del cliente per il trattamento, gli accordi di sub-trattamento approvati, la governance dei fornitori e i processi forniti esternamente rilevanti per il PIMS. La politica collega la governance del PIMS al controllo operativo. La valutazione del rischio privacy deve essere avviata prima dell’inizio di un trattamento dei dati personali identificabili nuovo o modificato in modo sostanziale, e la necessità di una DPIA deve essere determinata prima che proceda un trattamento del titolare del trattamento ad alto rischio o modificato in modo sostanziale. Le decisioni approvate di trattamento del rischio privacy sono registrate prima dell’attuazione del trattamento, e i proprietari dei sistemi devono confermare i controlli operativi del PIMS prima della messa in esercizio per i sistemi che trattano dati personali identificabili. Il Responsabile della sicurezza delle informazioni è responsabile della documentazione della baseline di sicurezza applicabile per i dati personali e del mantenimento dello stato di attuazione dei controlli di sicurezza, collegando la governance privacy alla baseline di sicurezza per i dati personali e alla Dichiarazione di Applicabilità. Questa struttura contribuisce ad assicurare che ambito di applicazione, attività di trattamento, applicabilità dei controlli, accordi con i fornitori e registrazioni del rischio restino allineati prima del riesame della direzione e delle modifiche connesse alla certificazione. La politica definisce inoltre i requisiti di verificabilità e miglioramento continuo. Il Privacy Lead / Responsabile del PIMS deve mantenere un indice delle evidenze del PIMS prima di ciascun audit interno, conservare le informazioni documentate secondo i requisiti di conservazione delle evidenze, mantenere trimestralmente le metriche di prestazione e riferire lo stato degli obiettivi prima del riesame della direzione. L’insieme minimo di misurazione include la percentuale di attività di trattamento incluse nell’ambito con classificazione del ruolo aggiornata, la percentuale di controlli applicabili con stato di attuazione aggiornato, le non conformità aperte e le azioni correttive scadute, nonché le valutazioni del rischio privacy in attesa di approvazione. I revisori dell’audit interno / della conformità devono riferire i risultati del riesame entro 15 giorni lavorativi, campionare la completezza delle evidenze durante gli audit interni, verificare le evidenze di chiusura delle eccezioni scadute e verificare l’efficacia delle azioni correttive entro 30 giorni dalla chiusura segnalata. Eccezioni, applicazione e manutenzione sono trattate come processi formali del PIMS anziché come deviazioni informali. Le eccezioni richieste devono essere documentate prima che si verifichi la deviazione, valutate in termini di rischio privacy prima dell’approvazione e riesaminate trimestralmente fino alla chiusura. Le eccezioni che superano le soglie accettate di rischio privacy richiedono l’approvazione dell’alta direzione prima dell’attuazione. Le non conformità sospette devono essere registrate entro cinque giorni lavorativi, le azioni correttive rilevanti scadute devono essere sottoposte a escalation verso l’alta direzione e le non conformità rilevanti non risolte devono essere riesaminate in ciascun riesame della direzione. La politica stessa è riesaminata annualmente ed entro 30 giorni da modifiche sostanziali dell’ambito legale, organizzativo, di trattamento, tecnologico o di certificazione, con le modifiche approvate comunicate in REG11 entro 30 giorni dalla pubblicazione.