MOP: il Modello Organizzativo Privacy come misura di responsabilizzazione per l’adeguamento al Gdpr

Data pubblicazione: 19/04/2022

Sempre più frequentemente si sente citare come misura di “accountability” o “responsabilizzazione”, il “MOP”, acronimo di “Modello Organizzativo Privacy”, che alcuni indicano anche come “Manuale Operativo Privacy”. Si tratta di un documento che ha la finalità primaria di dare evidenza alle azioni poste in atto da un’organizzazione per far fronte agli adempimenti in materia di protezione dei dati.

Lo scopo principale del MOP è quella di condensare in un unico testo, a favore di tutte le parti interessate, una serie di documenti che altrimenti potrebbe essere difficile inventariare e tenere sotto controllo, in particolare per realtà a complessità medio-alta, nelle quali la documentazione sulla protezione dei dati tende ad essere maggiore.

Il MOP contiene o fa riferimento a procedure, istruzioni, modelli ed altri documenti che l’organizzazione ha predisposto per dare evidenza della applicazione della normativa.

Le parti componenti il MOP, a loro volta, possono essere utilizzate quali criteri di audit.

Il MOP viene di norma redatto dal Referente Privacy/Privacy Officer ed approvato dal Titolare del trattamento.

Il MOP è aggiornato in occasione di variazioni di contesto (interno o esterno all’organizzazione), di normative, e per l’introduzione di nuove misure, nonché in seguito alla modifica o eliminazione di misure ritenute non più adeguate. È opportuno conservare la storicizzazione delle varie versioni del documento per comprenderne, nel tempo, l’evoluzione.

Non essendo codificato in alcun modo, non è ovviamente possibile definire un indice “tipo” del MOP, ma si possono indicare i contenuti di base, comuni alla maggior parte delle versioni di tale documento. Essi sono:

  • registro dei trattamenti;
  • PIA (Privacy Impact Assesment) ovvero analisi dei rischi e metodologia utilizzata per la loro valutazione;
  • l’elenco dei responsabili del trattamento e degli eventuali contitolari;
  • misure di mitigazione poste in essere per mitigare i rischi. Quando tali misure hanno valenza di procedure queste sono riportate nel MOP o nei documenti ad esso correlati;
  • modelli dei documenti (informativa per i vari tipi di interessati, atto di designazione ad autorizzato, atto di designazione a Responsabile, ecc.).

Certamente predisporre la prima versione di un MOP non è né facile né veloce, ma a tendere il MOP si presenta come uno strumento il cui rapporto costi/benefici è nettamente a favore di questi ultimi. Ciò è determinato non solo dalla valenza del MOP come supporto in caso di ispezione ma anche a favore di tutte le parti interessate che possono comprendere lo stato della documentazione e delle misure poste in atto. Ciò ne facilita l’aggiornamento, la condivisione – nella misura in cui ciò è funzionale agli obiettivi dell’organizzazione – e più in generale le valutazioni a monte delle scelte effettuate.

Fonte: Federprivacy