Politica di valutazione del rischio privacy e DPIA

La Politica di valutazione del rischio privacy e DPIA definisce come un’organizzazione identifica, valuta, tratta, approva, riesamina e documenta con evidenze i rischi privacy nell’ambito di applicazione del PIMS. La sua finalità è garantire che i rischi privacy e gli obblighi di DPIA siano affrontati prima che il trattamento di dati personali crei un rischio inaccettabile per gli interessati o per il PIMS. La politica si applica alle attività di trattamento di dati personali nuove e modificate in modo sostanziale nei contesti di titolare del trattamento, contitolare del trattamento, responsabile del trattamento e sub-responsabile. Copre inoltre sistemi, applicazioni, servizi, processi aziendali, fornitori, responsabili del trattamento, sub-responsabili, trasferimenti internazionali e accordi di condivisione dei dati che incidono sul trattamento di dati personali. Un elemento centrale della politica è il modello operativo basato su REG04. Screening del rischio privacy, screening DPIA, valutazione del rischio, piani di trattamento del rischio, accettazione del rischio residuo, decisioni di consultazione, approvazioni e stato del riesame sono documentati in REG04, con evidenze di supporto collegate a REG02, REG03, REG08, REG09, REG10, REG11 e REG12. La politica evita espressamente la creazione di registri separati per DPIA, rischio o consultazioni al di fuori di REG04. Questo contribuisce a preservare un’unica traccia delle evidenze per gli esiti dello screening, decisioni sulla DPIA completa, classificazioni del rischio, titolari del trattamento del rischio, date di scadenza, rischio residuo, stato di approvazione e date di riesame. La politica stabilisce presupposti obbligatori per lo screening del rischio privacy e per la determinazione della DPIA completa. I Proprietari del processo / titolari dell’attività devono avviare lo screening in REG04 prima dell’inizio di un trattamento nuovo o modificato in modo sostanziale registrato in REG02. Il trattamento da parte del titolare del trattamento che possa comportare un rischio elevato richiede una DPIA completa prima dell’inizio del trattamento. La politica individua il trattamento che comporta attività su larga scala, monitoraggio sistematico, profilazione, decisioni automatizzate, categorie particolari di dati personali, dati relativi a condanne penali o reati, interessati vulnerabili, tecnologie innovative e modifiche sostanziali del trattamento come aspetti che devono essere sottoposti al Responsabile privacy / Responsabile del PIMS prima dell’avvio del trattamento. Richiede inoltre un nuovo screening prima di utilizzare dati personali per una nuova finalità, aggiungere un nuovo destinatario, introdurre un nuovo responsabile del trattamento o sub-responsabile, modificare l’architettura di sistema o avviare un nuovo trasferimento internazionale. Anche il trattamento del rischio e l’escalation sono definiti in modo chiaro. Quando il rischio privacy supera la soglia di accettazione approvata, il Proprietario del processo / titolare dell’attività deve registrare un Piano di trattamento del rischio in REG04 prima che il trattamento proceda. Le azioni relative a sicurezza, progettazione del sistema, fornitore, aspetti contrattuali e assurance sono assegnate al ruolo pertinente e devono essere completate prima della messa in esercizio, dell’onboarding, del rinnovo o della data di scadenza approvata. Il rischio privacy residuo elevato per il trattamento da parte del titolare del trattamento richiede l’approvazione dell’alta direzione prima che il trattamento inizi o continui. Quando dopo il trattamento del rischio permane un rischio residuo elevato, il Responsabile privacy / Responsabile del PIMS registra la decisione di consultazione preventiva in REG04 e l’alta direzione approva la continuazione, la sospensione, la riprogettazione o le azioni di consultazione prima che il trattamento proceda. I requisiti di governance, monitoraggio e applicazione della politica garantiscono che il processo rimanga attivo dopo l’approvazione iniziale. Il Responsabile privacy / Responsabile del PIMS riesamina mensilmente i rischi privacy aperti e le azioni di trattamento scadute, riferisce trimestralmente e prima del Riesame della direzione sullo stato del rischio privacy e delle DPIA e riconcilia le registrazioni attive dei rischi in REG04 con le registrazioni dell’inventario dei trattamenti in REG02. La politica definisce metriche per la copertura dello screening, DPIA complete attive, riesami scaduti, rischi residui elevati, stato delle azioni di trattamento, tempo medio di chiusura, azioni dei fornitori, azioni di trattamento di sicurezza, rivalutazione attivata da incidenti e risultanze dell’audit. Le eccezioni devono essere richieste prima della deviazione, valutate per l’impatto privacy, legale, di certificazione, operativo e sugli interessati, e dotate di una data di scadenza non superiore a 90 giorni. Evidenze REG04 mancanti, inesatte, incomplete, scadute o non approvate sono trattate come non conformità in REG12.