Un’altra tappa del nostro viaggio all’interno della ISO 9001:2015 per mettere a fuoco quale siano i punti di contatto con il Regolamento Europeo GDPR per la privacy  al fine di una possibile integrazione fra i due sistemi di gestione

Riassumendo le puntate precedenti:

nel primo articolo “GDPR e ISO9001 2015 NEI SERVIZI: ANALISI DEL CONTESTO” abbiamo analizzato come deve essere impostata una corretta valutazione del contesto, per capire il livello del trattamento che deve essere attuato;

nel secondo articolo  GDPR e ISO9001 2015 NEI SERVIZI: PIANIFICAZIONE E LEADERSHIP  quale deve essere il comportamento dell’Alta Direzione in un sistema integrato ISO 9001 : 2015 e GDPR oltre a cenni sulla Risk Analysis;

nel terzo articolo “GDPR e ISO9001 2015 NEI SERVIZI: ATTIVITA’ DI SUPPORTO ” abbiamo parlato  di Risorse umane, strumentali ,Competenze, Comunicazione e Gestione dei documenti collegati alla Privacy ;

mentre nel quarto articolo “ GDPR e ISO9001 2015 NEI SERVIZI: REQUISITI  E PROGETTAZIONE ” abbiamo accennato a quale siano i principali elementi di cui tener conto, (in una corretta gestione della Privacy) nel determinare i requisiti dei servizi offerti e allorquando si effettuano attività di progettazione

In questo quinto contributo andiamo a trattare dei rapporti con i fornitori e di quegli aspetti di erogazione del Servizio, che più hanno a che fare con il trattamento di Dati Personali

1.    PRODOTTI E SERVIZI FORNITI DALL’ESTERNO (8.4)

Qualora nel trattamento dei dati personali, connessi alla erogazione di un servizio, siano coinvolti soggetti esterni all’azienda, che possono ad esempio fornire Elenchi di Nominativi o Servizi in Outsourcing, é necessario che l’organizzazione:

  1. applichi fra i vari criteri di selezione, valutazione e monitoraggio di tali specifici fornitori, come richiesto in Generalità (8.4.1) , anche quelli riguardanti la loro capacità di essere conformi al GDPR (ad esempio nel dare confidenza per ciò che riguarda gli adeguati aspetti tecnici ed organizzativi per la sicurezza delle informazioni)
  2. determini le necessarie Informazioni ai fornitori esterni (8.4.3 ) che comprendano la garanzia che il trattamento dei Dati Personali sia effettuato sulla base di istruzioni operative ben definite (ad esempio sui criteri per avere il consenso degli interessati, sul periodo di conservazione dei dati o sulla loro trasmissione a terzi) Gli accordi o i contratti scritti, nei confronti dei fornitori, rappresentano veri e propri incarichi di Responsabili del trattamento dei dati Personali per conto dell’Organizzazione.

2.   EROGAZIONE DEI SERVIZI (8.5)

La norma richiede che  l’erogazione dei servizio sia effettuata in condizioni controllate (8.5.1). Le condizioni controllate, relativamente alla gestione dei Dati Personali, in conformità al GDPR, riguardano fra le altre le attività quella di:

  1. determinare, per ogni processo operativo l’insieme degli eventuali trattamenti dei Dati Personali previsti
  2. individuare gli aspetti tecnici, organizzativi, di monitoraggio, di infrastrutture, di ambienti idonei, nonché delle risorse necessarie per espletare i trattamenti individuati

Per effettuare in modo corretto quanto richiesto dal GDPR, l’organizzazione deve utilizzare mezzi organizzativi e tecnici idonei per assicurare la piena Identificazione e Rintracciabilità (8.5.2), dei Dati personali  e garantirne la Presevarzione (8.5.4 ) in modo da rendere in ogni momento possibile l’esercizio dei diritti degli Interessati previsto dal Regolarmento.

Quando eventuali elenchi di Dati Personali, su cui vengono eseguiti i trattamenti previsti, sono forniti da soggetti esterni  alla organizzazione (clienti o fornitori), deve valere comunque il principio che tali elenchi sono di Proprietà del cliente o del fornitore (8.5.3) e come tali l’organizzazione deve averne particolare cura. Quando venissero riscontrate delle violazioni (data breaches) l’organizzazione deve darne comunicazione al cliente o al fornitore, all’autorità di controllo e/o agli interessati, sulla base della gravità della violazione e degli specifici accordi contrattuali stabiliti con le parti.

3.    RILASCIO (8.6)

Fra le varie attività di controllo da effettuare prima di erogare un servizio, rientra anche la valutazione, quando applicabile, di quanto sia stato fatto per garantire il rispetto della privacy: in particolare è necessario verificare  l’affidabilità delle misure tecniche ed organizzative attuate per garantire la Sicurezza dei Dati Personali.

4.    CONTROLLO DEGLI OUTPUT NON CONFORMI (8.7)

Quando, durante i trattamenti di Dati Personali, effettuato nell’ambito di processi definiti, si verificano delle situazioni non conformi quali ad esempio la distruzione accidentale o illegale, la perdita, la modifica non voluta, o una comunicazione e diffusione non consentita,  (raffigurabili in Violazioni o data breaches), l’organizzazione deve intraprendere azioni appropriate in base alla natura di tali violazioni e sugli impatti che esse hanno sugli interessati. Tali violazioni, sulla base dell’analisi di tali impatti, posso determinare anche comunicazioni all’autorità di controllo ed agli interessati.

GRAZIE PER L’ATTENZIONE  e vi aspetto per il sesto e ultimo contributo sul legame fra ISO 9001 e GDPR  che riguarderà  il MONITORAGGIO E IL MIGLIORAMENTO

De Martino Antonio

De Martino Antonio

Laurea in matematica presso l’Università degli Studi di Milano. Sono cresciuto professionalmente nell’ ambito della Informatica Industriale all’interno di progetti per le Telecomunicazioni e di Automazione e dal 1990 mi occupo di consulenza aziendale sia su temi di compliance normativa, di processo e di prodotto, sia su temi di gestione aziendale. Negli ultimi tempi mi sto occupando soprattutto di Sistemi Integrati, di Marcature CE e di Dispositivi Medici su tematiche che riguardano la Validazione del Software per ISO13485, Regolamenti FDA, MDR , ANNEX 11 e GAMP Ho all’attivo interventi che riguardano più di 100 aziende sia manifatturiere sia di servizi di diverse dimensioni

Leave a Reply