I MERCOLEDI' DELLA PRIVACY: le «privacy policy» di studio, queste sconosciute

Le “policy” sono quell'insieme di regole adottate per la disciplina dell'uso del computer, della navigazione su internet, della posta elettronica, ecc. a cui deve attenersi l'intera compagine facente parte dell'organigramma dello Studio di amministrazione condominiale (o di qualunque altra realtà aziendale o professionale), che va a determinare le condotte da tenere al fine di raggiungere quegli obiettivi che devono indirizzare le regole di comportamento che si intende attuare.

Conseguentemente, le “P rivacy policy”, sono quelle regole che un'organizzazione si da al fine di ottenere gli obiettivi e perseguire le finalità stabilite ab origine sul trattamento dei dati personali.

Queste disposizioni unilaterali vanno anche a determinare lo svolgimento delle procedure interne poste alla base dell'organizzazione di uno Studio.

La «politica» dello studio
Così, le misure tecniche e organizzative adeguate che deve attuare lo Studio di amministrazione in relazione alle modalità di effettuazione dei trattamenti dati, includono la predisposizione e l'attuazione di una specifica politica in materia di protezione dei dati.

Questa politica deve essere appropriata alle finalità di trattamento e all'ambiente in cui si opera, costituendo un riferimento per i targets posti per la protezione dei dati, e deve includere l'impegno alla soddisfazione dei requisiti cogenti e volontari applicabili, prevedendo esplicitamente l'obbligo formale di soddisfare i requisiti del Reg. UE 16/679, nonché la volontà espressa al perseguimento del miglioramento continuo del sistema di gestione per la protezione dei dati messi in atto.

La politica per la protezione dei dati deve essere disponibile come informazione documentata, essere costantemente aggiornata in relazione ai mutamenti dell'ambiente, comunicata, recepita ed attuata all'interno dello Studio di amministrazione.

Come si redige il documento
Si tratta di un documento che deve essere scritto in modo semplice, breve e comprensibile, e deve essere conosciuta dai lavoratori. L'evidenza documentale della comunicazione può essere data (tra le altre), mediante la sottoscrizione della politica (è fortemente auspicabile che responsabili e lavoratori partecipino a riunioni dedicate alla divulgazione della politica stessa).

Lo Studio di amministrazione deve determinare e mettere a disposizione le risorse umane, economiche, patrimoniali e finanziarie necessarie per il corretto funzionamento del sistema di gestione della protezione dei dati. Deve altresì essere predisposta un'informazione documentata per descrivere la struttura organizzativa.
Anche questa informazione documentata deve essere comunicata e compresa all'interno dello Studio.

Laddove poi venga indicato come amministratore di uno o più condomìni un soggetto diverso rispetto al legale rappresentante, la policy dovrà prevedere la ripartizione dei ruoli, nonché delle responsabilità in relazione al trattamento dei dati.

L’organigramma nominativo
Lo Studio di amministrazione deve predisporre quindi un organigramma nominativo, identificato con data di aggiornamento, che consente di individuare le responsabilità della gestione dei processi in riferimento alla protezione dei dati.

La sottoscrizione dell'organigramma fornisce evidenza oggettiva dell'accettazione delle varie responsabilità.

La formazione
Si devono anche organizzare delle sessioni formative che riguardino in primis l'Amministratore nominato Responsabile del trattamento dati del Condominio, nonché il personale dello Studio che tratta i dati dei condomìni amministrati.

Questa formazione deve essere effettuata periodicamente da soggetti che abbiano la conoscenza specialistica della materia e ne deve essere fornita evidenza documentale, di modo che venga attestata sia la partecipazione alla medesima formazione, sia l'esito della stessa. Anche la determinazione di queste sessioni formative con i requisiti, dovranno essere riportati all'interno del documento.

Il «manuale privacy»
Normalmente le policy verranno raggruppate in un unico documento, spesso chiamato “Manuale privacy”, che deve essere tenuto ed aggiornato dal responsabile del trattamento nominato all'interno dello Studio ed essere oggetto di revisione periodica.

Si tratterà di un documento “dinamico”, in quanto lo si deve tempestivamente modificare qualora, nel corso delle attività svolte, dovessero presentarsi anomalie applicative delle misure di sicurezza adottate o ulteriori nuovi rischi tali da dover comportare un intervento con nuove misure di sicurezza.

Sono i responsabili del trattamento nominati all'interno dello Studio che hanno il compito di formulare le proposte di modificazione e integrazione nonché di garantire la corretta applicazione e conservazione del manuale.

Il documento in questione, così come l'analisi dei rischi e il registro delle attività di trattamento, deve essere producibile dall'amministratore in caso di richiesta da parte degli organi ispettivi.

Ancora una volta un incombente in capo all'amministratore che però, se ben gestito, può davvero diventare una grande opportunità, consentendogli di regolamentare e standardizzare le procedure interne, passo fondamentale per aspirare ad una crescita per la realtà imprenditoriale.