Il codice, per questo punto, prevede la indicazione dei compiti e delle responsabilità delle varie strutture alle quali sono affidati i trattamenti.
Dalle istruzione fornite dal Garante della privacy, si evince che:
In questa sezione occorre descrivere sinteticamente l'organizzazione della struttura di riferimento, i compiti e le relative responsabilità, in relazione ai trattamenti effettuati.
Si possono utilizzare anche mediante specifici riferimenti documenti già predisposti (provvedimenti, ordini di servizio, regolamenti interni, circolari), indicando le precise modalità per reperirli. |
Occorre, tra l'altro, compilare uno schema nel quale rappresentare l'organigramma “privacy” con evidenziati i rispettivi ruoli, compiti e le consequenziali responsabilità in merito ai trattamenti effettuati, con riferimento alle strutture.
Pertanto si rende necessario effettuare il rilevamento delle attività svolte nelle varie strutture, ed esaminare la corretta attribuzione dei rispettivi ruoli e mansioni.
Infine vanno definite le linee programmatiche da rispettare in caso di aggiornamento dei ruoli, e delle loro formalizzazioni.
In particolare occorre individuare e riportare:
1. |
il Titolare dei trattamenti ex art. 28 del Codice privacy; |
2. |
se nominati, il Responsabile opp. i Responsabili, ex art. 29 del codice privacy, ai quali sono affidate le operazioni di trattamento con la indicazione di rispettivi compiti; |
3. |
il ruolo degli Incaricati, ex art 30 del codice della privacy, con le mansioni svolte. |
|
Nella newsletter del 21-11-2005 ci occupiamo della regola 19.2 del Disciplinare Tecnico in Materia di Misure Minime di Sicurezza (D.Lgs 196/2003 Allegato B).
La regola prevede che la sezione del Documento programmatico sulla sicurezza 19.2 contenga idonee informazioni circa “la distribuzione dei compiti e delle responsabilità nell'ambito delle strutture preposte al trattamento dei dati”.
La Guida operativa del Garante per redigere il Documento programmatico sulla sicurezza ( DPS ) indica come contenuti della sezione: l'organizzazione della struttura di riferimento, i compiti e le relative responsabilità, in relazione ai trattamenti effettuati. La sezione 19.2 del DPS deve, quindi, essere una “fotografia” dell'organizzazione dell'azienda o dell'organizzazione che si sottopone ad esame. Occorre stilare un' organigramma aziendale da cui possano dedursi le funzioni di ogni persona che, nell'organizzazione e a vario titolo, si occupano del trattamento di dati personali.
L'organigramma aziendale conduce alla stesura dell' ”organigramma della privacy”, ovvero ad un albero i cui rami sono i Responsabili e le foglie gli Incaricati. Tale organigramma è alla base dell'assegnazione delle Credenziali di Autenticazione e della implementazione del Sistema di Autorizzazione, ma anche dei controlli periodici per verificarne le condizioni di sussistenza.
Per una migliore leggibilità del DPS, in caso di organizzazioni complesse, è buona regola creare l'organigramma della privacy per ogni struttura (struttura: ufficio, funzione,ecc.) dell'organizzazione. Per ogni struttura è necessario indicare i trattamenti di competenza ( Guida operativa per redigere il Documento programmatico sulla sicurezza (DPS), Garante per la protezione dei dati personali) descrivendo sinteticamente compiti e responsabilità partendo dalle operazioni di trattamento più comuni come acquisizione e caricamento dati e passando a trattamenti più complessi specifici della struttura in esame.
È possibile utilizzare come contenuto della sezione 19.2 i contenuti di documenti già predisposti (come l'organigramma aziendale) assicurandosi che siano effettivamente aggiornati.
La corretta compilazione della sezione consente una valutazione ulteriore del flusso documentale della propria organizzazione consentendo un controllo accurato delle operazioni di trattamento di dati personali e una base per valutare le “falle” nel sistema di protezione dei dati personali dell'organizzazione.
Nicola Fantini
Ingegnere, consulente di GBsoftware srl
|
La previsione del codice:
