Sempre più frequentemente si sente citare come misura di “accountability” o “responsabilizzazione”, il “MOP”, acronimo di “Modello Organizzativo Privacy”, che alcuni indicano anche come “Manuale Operativo Privacy”. Si tratta di un documento che ha la finalità primaria di dare evidenza alle azioni poste in atto da un’organizzazione per far fronte agli adempimenti in materia di protezione dei dati.
Lo scopo principale del MOP è quella di condensare in un unico testo, a favore di tutte le parti interessate, una serie di documenti che altrimenti potrebbe essere difficile inventariare e tenere sotto controllo, in particolare per realtà a complessità medio-alta, nelle quali la documentazione sulla protezione dei dati tende ad essere maggiore.
Il MOP contiene o fa riferimento a procedure, istruzioni, modelli ed altri documenti che l’organizzazione ha predisposto per dare evidenza della applicazione della normativa.
Le parti componenti il MOP, a loro volta, possono essere utilizzate quali criteri di audit.
Il MOP viene di norma redatto dal Referente Privacy/Privacy Officer ed approvato dal Titolare del trattamento.
Il MOP è aggiornato in occasione di variazioni di contesto (interno o esterno all’organizzazione), di normative, e per l’introduzione di nuove misure, nonché in seguito alla modifica o eliminazione di misure ritenute non più adeguate. È opportuno conservare la storicizzazione delle varie versioni del documento per comprenderne, nel tempo, l’evoluzione.
Non essendo codificato in alcun modo, non è ovviamente possibile definire un indice “tipo” del MOP, ma si possono indicare i contenuti di base, comuni alla maggior parte delle versioni di tale documento. Essi sono:
Certamente predisporre la prima versione di un MOP non è né facile né veloce, ma a tendere il MOP si presenta come uno strumento il cui rapporto costi/benefici è nettamente a favore di questi ultimi. Ciò è determinato non solo dalla valenza del MOP come supporto in caso di ispezione ma anche a favore di tutte le parti interessate che possono comprendere lo stato della documentazione e delle misure poste in atto. Ciò ne facilita l’aggiornamento, la condivisione – nella misura in cui ciò è funzionale agli obiettivi dell’organizzazione – e più in generale le valutazioni a monte delle scelte effettuate.
Fonte: Federprivacy