Politica sui ruoli, le responsabilità e la responsabilizzazione privacy

La Politica sui ruoli, le responsabilità e la responsabilizzazione privacy definisce il modo in cui l’organizzazione assegna, documenta, comunica, riesamina e migliora le responsabilità all’interno del proprio Sistema di gestione delle informazioni sulla privacy. Il suo ambito di applicazione comprende personale, funzioni, sistemi, fornitori, responsabili del trattamento, sub-responsabili e rapporti di contitolarità del trattamento che partecipano al trattamento dei dati personali o lo influenzano entro l’ambito di applicazione del PIMS. La politica si applica nei contesti di titolare del trattamento, contitolare del trattamento, responsabile del trattamento e sub-responsabile, risultando pertinente per l’intero insieme dei modelli operativi privacy descritti nel documento. Chiarisce inoltre che non crea nuove qualifiche organizzative; definisce invece ruoli PIMS canonici che possono essere assegnati a personale o funzioni esistenti quando sono documentati i requisiti richiesti relativi ad assegnazione, competenza, indipendenza e conflitto di interessi. La politica stabilisce un modello strutturato dei ruoli PIMS e un approccio alla responsabilizzazione basato sulle evidenze. L’alta direzione deve approvare il modello canonico dei ruoli in REG01 prima dell’attuazione iniziale e successivamente con frequenza annuale. Il Responsabile privacy / Responsabile del PIMS mantiene in REG01 le assegnazioni nominative dei ruoli, gli ambiti di responsabilità e i livelli di autorità, inclusi gli aggiornamenti successivi a cambiamenti del personale o dell’organizzazione. La titolarità del trattamento è collegata a REG02, dove i Proprietari del processo / titolari dell’attività assegnano proprietari responsabili per ciascuna attività di trattamento dei dati personali prima dell’avvio del trattamento e i proprietari dei sistemi / Proprietari delle applicazioni documentano i proprietari responsabili dei sistemi prima della messa in esercizio. La titolarità delle relazioni con fornitori, responsabili del trattamento, sub-responsabili, la condivisione dei dati con terze parti e contitolari del trattamento è registrata in REG08 prima dell’onboarding o dell’approvazione dell’accordo. Una parte centrale della politica riguarda la gestione delle combinazioni di ruoli, della segregazione e dell’indipendenza. La politica consente combinazioni di ruoli pratiche, anche per le piccole e medie imprese, ma richiede la documentazione prima che le combinazioni producano effetti. Le combinazioni di ruoli che coinvolgono il Responsabile privacy / Responsabile del PIMS, il Responsabile della protezione dei dati / Consulente privacy, il Responsabile della sicurezza delle informazioni, il Coordinatore della risposta agli incidenti o il Revisore dell’audit interno / della conformità richiedono l’approvazione dell’alta direzione in REG01. Il Revisore dell’audit interno / della conformità deve documentare in REG12 l’indipendenza dal processo PIMS oggetto di riesame prima di ciascun audit o riesame della conformità. Quando i conflitti di segregazione non possono essere evitati, devono essere registrati controlli compensativi e il Responsabile della protezione dei dati / Consulente privacy deve registrare eventuali criticità relative all’indipendenza o al conflitto di interessi entro cinque giorni lavorativi dalla loro identificazione. La politica definisce inoltre la responsabilizzazione nelle responsabilità di titolare del trattamento, contitolare del trattamento, responsabile del trattamento e sub-responsabile. Il trattamento svolto dal titolare richiede che la titolarità della responsabilità, la titolarità della finalità e la titolarità delle evidenze siano registrate in REG02 prima dell’avvio del trattamento. L’allocazione delle responsabilità del contitolare del trattamento, la titolarità delle istruzioni del cliente da parte del responsabile del trattamento, la titolarità della vigilanza sui sub-responsabili, lo stato di approvazione e i percorsi di escalation delle responsabilità delle terze parti sono gestiti tramite REG08. Il Responsabile privacy / Responsabile del PIMS verifica trimestralmente le registrazioni di classificazione dei ruoli in REG02 e REG08 ed entro 15 giorni lavorativi da una modifica sostanziale. La politica richiede inoltre che consulenza privacy, input sulla responsabilità per la sicurezza dei dati personali, responsabilità di escalation per violazioni e incidenti privacy, controversie non risolte sulle responsabilità ed escalation correlate ai ruoli siano documentati in elementi di evidenza definiti. Governance, misurazione, eccezioni, applicazione e manutenzione sono integrati nel modello di responsabilizzazione. L’alta direzione riesamina la completezza, i ruoli vacanti, i conflitti tra ruoli, le eccezioni di responsabilizzazione e le metriche durante il riesame della direzione. Il Responsabile privacy / Responsabile del PIMS svolge riesami trimestrali della responsabilizzazione, tiene traccia dei ruoli vacanti e combinati, riferisce sul completamento della sensibilizzazione ai ruoli, gestisce le eccezioni con limiti di scadenza definiti e registra assegnazioni mancanti, inesatte o obsolete come non conformità. I Proprietari del processo / titolari dell’attività devono impedire la messa in esercizio di trattamenti di dati personali nuovi o modificati quando mancano le evidenze richieste sui ruoli e sulla responsabilizzazione. I Revisori dell’audit interno / della conformità testano le evidenze dei ruoli, segnalano le risultanze e verificano l’efficacia delle azioni correttive. La politica deve essere riesaminata annualmente ed entro 30 giorni da una modifica sostanziale del modello dei ruoli PIMS.