Siamo arrivati all’ultima stazione del  nostro viaggio all’interno della ISO 9001:2015 per mettere a fuoco quale siano i punti di contatto con il Regolamento Europeo GDPR per la privacy  al fine di una possibile integrazione fra i due sistemi di gestione

Riassumiamo le puntate precedenti,

nel primo articoloGDPR e ISO9001 2015 NEI SERVIZI: ANALISI DEL CONTESTO” abbiamo analizzato come deve essere impostata una corretta valutazione del contesto per avere l’esatta natura dei Dati Personali da trattare;

nel secondo articoloGDPR e ISO9001:2015 NEI SERVIZI: PIANIFICAZIONE E LEADERSHIP quale deve essere il comportamento dell’Alta Direzione in un sistema integrato ISO 9001 : 2015 e GDPR oltre a cenni sulla Risk Analysis;

nel terzo articoloGDPR e ISO9001 2015 NEI SERVIZI : ATTIVITÀ DI SUPPORTO ” abbiamo parlato  di Risorse umane e Strumentali, ,Competenze, Comunicazione e Gestione dei documenti collegati alla Privacy ;

nel quarto articoloGDPR e ISO9001:2015 NEI SERVIZI. REQUISITI  E PROGETTAZIONE” abbiamo accennato a quale siano i principali elementi di cui tener conto, (in una corretta gestione della Privacy) nel determinare i requisiti dei servizi offerti e allorquando si effettuano attività di progettazione

mentre nel quinto articoloGDPR e ISO9001 2015 NEI SERVIZI:  EROGAZIONE E GESTIONE DEI FORNITORI  ” abbiamo trattato i rapporti con i fornitori e quegli aspetti di erogazione del Servizio, che  più hanno a che fare con il trattamento di Dati Personali

In questo sesto e ultimo  contributo andiamo a spiegare quale siano le principali attività di monitoraggio e controllo che permettono, all’interno della ISO 9001 : 2015, una corretta gestione della Privacy sulla base di quanto richiesto dal regolamento europeo GDPR

1.    MONITORAGGIO ED ANALISI (9.1)

Fra gli indicatori, di cui effettuare periodicamente un’analisi dei dati e molti dei quali collegati agli obiettivi individuati nelle Politica per Privacy, vi sono quelli ad esempio che hanno determinato potenziali data breaches, quelli che possono valutare l’efficacia delle azioni intraprese per la sicurezza dei dati Personali e quelli che valutano la quantità e la tipologia di richieste di attuazione  dei diritti degli interessati.

2.     AUDIT INTERNO (9.2)

Fra gli argomenti che l’organizzazione deve valutare durante le sessioni di verifiche ispettive interne di un sistema di gestione integrato Qualità e GDPR, vi sono quelli inerenti ai vari trattamenti dei Dati Personali ed alla gestione della Privacy. Tali verifiche devono essere effettuate dagli auditor interni, interloquendo con i vari Responsabili ed Incaricati dei trattamenti, valutando, la consistenza e l’efficacia delle misure tecniche ed organizzative effettuate, la documentazione prodotta e verificando la efficacia delle azioni correttive intraprese a fronte di non conformità oppure di eventuali data breaches.

Qualora l’organizzazione si sia dotata della funzione DPO, sarebbe utile che tale figura fosse parte integrante del team di verifica in quanto,  come richiesto espressamente dal Regolamento Europeo, deve godere della necessaria indipendenza rispetto alle attività verificate.

3.     RIESAME DELLA DIREZIONE (9.3)

Il Riesame della direzione che viene periodicamente pianificato ed effettuato da una organizzazione che si sia dotata di un Sistema di Gestione per la Qualità. Nel caso questo sia stato integrato con un Sistema di Gestione per la Privacy, deve prendere in considerazione anche gli aspetti che hanno riguardato tutte le attività inerenti al trattamento dei Dati Personali.

In particolare come input al riesame della direzione (9.3.2) sono da trattare, in funzione dei risultati degli audit e della Analisi e Valutazione, anche:

  • L’efficacia delle misure tecniche ed organizzative implementate per la gestione del GDPR
  • La coerenza di tali misure con i vari servizi erogati
  • I risultati delle azioni intraprese a fronte delle eventuali non conformità registrate durante i trattamenti dei dati Personali
  • Le tipologie di richieste dell’esercizio dei diritti degli interessati ed eventuali motivazioni

A fronte di tali considerazioni gli output del Riesame della direzione (9.3.3) possono consistere di:

  • Azioni di miglioramento delle misure tecniche ed organizzative
  • Modifiche ai vari trattamenti di Dati Personali per migliorarne l’efficacia

4.     NON CONFORMITÀ ED AZIONI CORRETTIVE (10.2)

In un sistema integrato è necessario anche individuare un processo che determini le modalità di reazione soprattutto a violazioni dei Dati Personali che possono avvenire durante i vari trattamenti. In particolare per ogni violazione è necessario

  • Valutare l’impatto che tale violazione può determinare sull’interessato
  • Intraprendere azioni per tenerla sotto controllo e limitarne i danni
  • Determinare le cause che hanno provocato tale violazione
  • Implementare le necessarie azioni correttive che eliminino tali cause
  • Monitorare l’efficacia delle azioni intraprese

CON QUESTO CONTRIBUTO TERMINA IL NOSTRO VIAGGIO CHE AVEVA LO SCOPO DI SPIEGARE LE MODALITA’ DI INTEGRAZIONE FRA ISO 9001: 2015 E GDPR. GRAZIE A CHI AVUTO LA PAZIENZA DI PERCORRERE CON NOI TUTTO QUESTO LUNGO CAMMINO

De Martino Antonio

De Martino Antonio

Laurea in matematica presso l’Università degli Studi di Milano. Sono cresciuto professionalmente nell’ ambito della Informatica Industriale all’interno di progetti per le Telecomunicazioni e di Automazione e dal 1990 mi occupo di consulenza aziendale sia su temi di compliance normativa, di processo e di prodotto, sia su temi di gestione aziendale. Negli ultimi tempi mi sto occupando soprattutto di Sistemi Integrati, di Marcature CE e di Dispositivi Medici su tematiche che riguardano la Validazione del Software per ISO13485, Regolamenti FDA, MDR , ANNEX 11 e GAMP Ho all’attivo interventi che riguardano più di 100 aziende sia manifatturiere sia di servizi di diverse dimensioni

Leave a Reply