Politica sull’informativa privacy e sulla trasparenza

La Politica sull’informativa privacy e sulla trasparenza definisce i requisiti dell’organizzazione per creare, approvare, pubblicare, mantenere, riesaminare e documentare con evidenze le informative privacy e le informazioni di trasparenza per il trattamento di dati personali nell’ambito di applicazione del PIMS. La finalità dichiarata è assicurare che gli interessati ricevano “informative privacy chiare, aggiornate, accessibili e verificabili prima del punto richiesto nel ciclo di vita del trattamento di dati personali, o contestualmente a tale punto”. La politica si applica al trattamento svolto dal titolare del trattamento, alle informazioni di trasparenza del contitolare del trattamento e al supporto del responsabile del trattamento o del sub-responsabile per gli obblighi di informativa del titolare del trattamento quando l’organizzazione agisce sulla base di istruzioni documentate del cliente o del responsabile del trattamento. La politica è di titolarità del Responsabile privacy / Responsabile del PIMS, è approvata dall’alta direzione e utilizza REG02, REG06, REG07, REG11 e REG12 come elementi di evidenza. Una caratteristica centrale della politica è il controllo del contenuto delle informative privacy tramite REG07. La politica stabilisce REG07 come elemento di evidenza autorevole per l’inventario delle informative, approvazione, pubblicazione, riesame, lingua e registrazioni di controllo delle versioni. Per il trattamento svolto dal titolare del trattamento, i Proprietari del processo / titolari dell’attività devono creare una registrazione dell’informativa privacy REG07 collegata alla pertinente attività di trattamento REG02 prima di avviare qualsiasi nuovo canale di raccolta di dati personali, servizio, modulo, campagna, prodotto o funzionalità. Quando i dati personali sono ottenuti da una fonte diversa dall’interessato, la registrazione deve essere creata prima della prima comunicazione, prima della prima comunicazione a una terza parte oppure entro 20 giorni lavorativi dall’ottenimento dei dati personali, a seconda di quale evento si verifichi per primo. La politica richiede inoltre che le informative siano collegate alle finalità del trattamento REG02 aggiornate, ai riferimenti della base giuridica, alle categorie di dati personali, alle categorie di interessati, alle categorie di fonti, alle categorie di destinatari, ai riferimenti di conservazione e ai riferimenti di trasferimento. La politica definisce un ciclo di vita strutturato di approvazione e pubblicazione. I Proprietari del processo / titolari dell’attività certificano l’accuratezza e la completezza del contenuto dell’informativa e sottopongono la registrazione REG07 all’approvazione del Responsabile privacy / Responsabile del PIMS prima della pubblicazione o dell’attivazione del canale di raccolta. Il Responsabile privacy / Responsabile del PIMS verifica la coerenza con REG02 e approva o respinge l’informativa. I proprietari dei sistemi / Proprietari delle applicazioni possono pubblicare solo la versione approvata dell’informativa REG07 prima di abilitare i canali di raccolta digitali, mentre i Proprietari del processo / titolari dell’attività devono rendere disponibili le informative approvate tramite canali non digitali prima che i dati personali siano raccolti. Le evidenze di pubblicazione, compresi posizione e marcatura temporale o evidenza equivalente, devono essere registrate in REG07 entro due giorni lavorativi dalla pubblicazione. Se mancano le evidenze richieste di informativa approvata, il nuovo canale di raccolta del titolare del trattamento non deve essere messo in esercizio. La qualità della trasparenza è trattata mediante controlli su lingua, accessibilità, versione e modifiche. La politica richiede l’identificazione dei destinatari interessati e delle versioni linguistiche richieste prima dell’approvazione. Richiede evidenze in REG07 relative alla chiarezza del linguaggio e all’idoneità per i destinatari, versioni tradotte o localizzate prima della pubblicazione e parità di versione tra informativa master e informative localizzate entro 10 giorni lavorativi da un aggiornamento sostanziale. Le versioni obsolete delle informative devono essere rimosse, reindirizzate o etichettate entro cinque giorni lavorativi dalla pubblicazione della versione sostitutiva, mentre le versioni sostituite, le date di efficacia, le evidenze di approvazione e le evidenze di pubblicazione devono essere conservate in REG07. Le modifiche sostanziali all’identità del titolare del trattamento, al punto di contatto, alla finalità del trattamento, alla base giuridica, alle categorie di dati personali, alle categorie di destinatari, ai riferimenti di conservazione, ai riferimenti di trasferimento, ai canali per le richieste di esercizio dei diritti, ai canali per i reclami o per i contatti privacy, alla copertura linguistica, ai canali di pubblicazione o al contesto del trattamento attivano i controlli di aggiornamento dell’informativa. La politica include inoltre requisiti di governance, misurazione, eccezione, applicazione e manutenzione. Le informative REG07 attive sono riesaminate almeno annualmente ed entro 30 giorni da modifiche sostanziali legali, normative, contrattuali o del trattamento. Le registrazioni delle informative REG07 sono riconciliate trimestralmente rispetto alle finalità del trattamento REG02, con disallineamenti non risolti registrati in REG12. Le metriche includono la percentuale di informative attive collegate alle finalità REG02 aggiornate, le informative riesaminate entro la data di scadenza, gli aggiornamenti scaduti, i disallineamenti non risolti, i canali di raccolta bloccati o ritardati, le richieste di supporto all’informativa dei clienti completate nei tempi previsti e le informative con evidenze aggiornate di lingua, versione, approvazione e pubblicazione. Le eccezioni devono essere registrate in REG12 prima che si verifichino deviazioni, con il parere privacy richiesto e l’approvazione dell’alta direzione per specifiche eccezioni connesse alle informative. Le evidenze di informative mancanti, inaccurate, non pubblicate, non approvate o obsolete sono registrate come non conformità, e le informative sostanzialmente inaccurate o fuorvianti sono segnalate al Responsabile della protezione dei dati / Consulente privacy e all’alta direzione entro due giorni lavorativi dalla conferma.