Il GDPR non prescrive esplicitamente l’adozione di un framework strutturato, simile a quello previsto da norme come la ISO 27001; tuttavia, il Regolamento stabilisce chiaramente una serie di obblighi e responsabilità per Titolari (e Responsabili) del trattamento che, di fatto, richiedono l’implementazione di processi e misure organizzative simili a quelli previsti da un vero e proprio sistema di gestione o modello organizzativo.
Sistema di gestione o modello organizzativo?
Sempre più organizzazioni – di fronte alle responsabilità imposte dal GDPR – scelgono di adottare un framework adeguato a garantire e dimostrare la conformità. In molti casi, le aziende scelgono volontariamente di adottare un approccio strutturato per gestire la protezione dei dati personali, che può prendere la forma di un sistema di gestione o di un modello organizzativo.
In merito a questo framework, taluni lo definiscono modello organizzativo, altri sistema di gestione, attribuendo denominazioni quali MOP – Modello Organizzativo Privacy, oppure SGP – Sistema Gestione Privacy.
In primis, precisamo che usare la parola privacy in un contesto data protection è poco corretto; privacy indica genericamente il diritto alla riservatezza, mentre la protezione dei dati personali riguarda il trattamento corretto, sicuro e legale delle informazioni personali identificabili. Il GDPR, infatti, non regola solo la riservatezza, ma disciplina anche la raccolta, l’uso e la gestione dei dati personali, con un focus specifico sulla protezione dei diritti e delle libertà degli interessati e le modalità di esercizio dei diritti.
Occorre pertanto utilizzare “protezione dei dati personali” in quanto più caratterizzante e aderente al contesto normativo ed applicativo del Regolamento.
Dobbiamo quindi chiamarlo “Modello Organizzativo a protezione dei dati personali”.
Noi riteniamo altresì che questo framework di regole e procedure non sia semplicemente definibile un “Modello Organizzativo”; questo framework è più correttamente assimilabile ad un Sistema di Gestione: di seguito spieghiamo il perchè.
SISTEMA DI GESTIONE
Un sistema di gestione (che noi chiamiamo SGPDP – Sistema di Gestione Protezione dei Dati Personali) implica una struttura organizzativa completa e dinamica, che include politiche, processi, procedure e controlli tecnici e organizzativi per gestire la protezione dei dati; questo approccio è molto più strutturato e orientato al miglioramento continuo, simile a quanto avviene per ISO 27001 (Sistema di Gestione Sicurezza delle Informazioni) o ISO 9001 (Sistema di Gestione della qualità).
Un sistema di gestione prevede:
- Pianificazione (definizione di politiche e obiettivi);
- Attuazione (applicazione di misure tecniche e organizzative);
- Monitoraggio (controllo e revisione periodica);
- Miglioramento continuo.
Questo approccio è allineato anche con i requisiti del GDPR, che prevede misure adeguate e proporzionate per garantire la protezione dei dati personali in ogni fase del loro trattamento.
MODELLO ORGANIZZATIVO
Un modello organizzativo, come quello previsto dal D.Lgs. 231/01, definisce principalmente una struttura di ruoli e responsabilità all’interno di un’azienda per gestire specifici ambiti di rischio. Sebbene questo sia importante per definire chi fa cosa, il modello organizzativo si limita a descrivere l’assetto e la governance, ma non copre in modo dinamico la gestione operativa della protezione dei dati. Quindi, un modello organizzativo potrebbe essere una parte del sistema di gestione, ma non è sufficientemente ampio da coprire tutto il ciclo di vita della protezione dei dati.
In conclusione, considerando la necessità di adottare un approccio strutturato e continuo, il framework per la protezione dei dati personali è più assimilabile a un Sistema di Gestione che include componenti organizzative, tecniche, e procedurali, piuttosto che ad un Modello Organizzativo.