Siamo arrivati all’ultima stazione del nostro viaggio all’interno della ISO 9001:2015 per mettere a fuoco quale siano i punti di contatto con il Regolamento Europeo GDPR per la privacy al fine di una possibile integrazione fra i due sistemi di gestione
Riassumiamo le puntate precedenti,
nel primo articolo “GDPR e ISO9001 2015 NEI SERVIZI: ANALISI DEL CONTESTO” abbiamo analizzato come deve essere impostata una corretta valutazione del contesto per avere l’esatta natura dei Dati Personali da trattare;
nel secondo articolo” GDPR e ISO9001:2015 NEI SERVIZI: PIANIFICAZIONE E LEADERSHIP ” quale deve essere il comportamento dell’Alta Direzione in un sistema integrato ISO 9001 : 2015 e GDPR oltre a cenni sulla Risk Analysis;
nel terzo articolo “GDPR e ISO9001 2015 NEI SERVIZI : ATTIVITÀ DI SUPPORTO ” abbiamo parlato di Risorse umane e Strumentali, ,Competenze, Comunicazione e Gestione dei documenti collegati alla Privacy ;
nel quarto articolo “ GDPR e ISO9001:2015 NEI SERVIZI. REQUISITI E PROGETTAZIONE”” abbiamo accennato a quale siano i principali elementi di cui tener conto, (in una corretta gestione della Privacy) nel determinare i requisiti dei servizi offerti e allorquando si effettuano attività di progettazione
mentre nel quinto articolo “GDPR e ISO9001 2015 NEI SERVIZI: EROGAZIONE E GESTIONE DEI FORNITORI ” abbiamo trattato i rapporti con i fornitori e quegli aspetti di erogazione del Servizio, che più hanno a che fare con il trattamento di Dati Personali
In questo sesto e ultimo contributo andiamo a spiegare quale siano le principali attività di monitoraggio e controllo che permettono, all’interno della ISO 9001 : 2015, una corretta gestione della Privacy sulla base di quanto richiesto dal regolamento europeo GDPR
1. MONITORAGGIO ED ANALISI (9.1)
Fra gli indicatori, di cui effettuare periodicamente un’analisi dei dati e molti dei quali collegati agli obiettivi individuati nelle Politica per Privacy, vi sono quelli ad esempio che hanno determinato potenziali data breaches, quelli che possono valutare l’efficacia delle azioni intraprese per la sicurezza dei dati Personali e quelli che valutano la quantità e la tipologia di richieste di attuazione dei diritti degli interessati.
2. AUDIT INTERNO (9.2)
Fra gli argomenti che l’organizzazione deve valutare durante le sessioni di verifiche ispettive interne di un sistema di gestione integrato Qualità e GDPR, vi sono quelli inerenti ai vari trattamenti dei Dati Personali ed alla gestione della Privacy. Tali verifiche devono essere effettuate dagli auditor interni, interloquendo con i vari Responsabili ed Incaricati dei trattamenti, valutando, la consistenza e l’efficacia delle misure tecniche ed organizzative effettuate, la documentazione prodotta e verificando la efficacia delle azioni correttive intraprese a fronte di non conformità oppure di eventuali data breaches.
Qualora l’organizzazione si sia dotata della funzione DPO, sarebbe utile che tale figura fosse parte integrante del team di verifica in quanto, come richiesto espressamente dal Regolamento Europeo, deve godere della necessaria indipendenza rispetto alle attività verificate.
3. RIESAME DELLA DIREZIONE (9.3)
Il Riesame della direzione che viene periodicamente pianificato ed effettuato da una organizzazione che si sia dotata di un Sistema di Gestione per la Qualità. Nel caso questo sia stato integrato con un Sistema di Gestione per la Privacy, deve prendere in considerazione anche gli aspetti che hanno riguardato tutte le attività inerenti al trattamento dei Dati Personali.
In particolare come input al riesame della direzione (9.3.2) sono da trattare, in funzione dei risultati degli audit e della Analisi e Valutazione, anche:
- L’efficacia delle misure tecniche ed organizzative implementate per la gestione del GDPR
- La coerenza di tali misure con i vari servizi erogati
- I risultati delle azioni intraprese a fronte delle eventuali non conformità registrate durante i trattamenti dei dati Personali
- Le tipologie di richieste dell’esercizio dei diritti degli interessati ed eventuali motivazioni
A fronte di tali considerazioni gli output del Riesame della direzione (9.3.3) possono consistere di:
- Azioni di miglioramento delle misure tecniche ed organizzative
- Modifiche ai vari trattamenti di Dati Personali per migliorarne l’efficacia
4. NON CONFORMITÀ ED AZIONI CORRETTIVE (10.2)
In un sistema integrato è necessario anche individuare un processo che determini le modalità di reazione soprattutto a violazioni dei Dati Personali che possono avvenire durante i vari trattamenti. In particolare per ogni violazione è necessario
- Valutare l’impatto che tale violazione può determinare sull’interessato
- Intraprendere azioni per tenerla sotto controllo e limitarne i danni
- Determinare le cause che hanno provocato tale violazione
- Implementare le necessarie azioni correttive che eliminino tali cause
- Monitorare l’efficacia delle azioni intraprese
CON QUESTO CONTRIBUTO TERMINA IL NOSTRO VIAGGIO CHE AVEVA LO SCOPO DI SPIEGARE LE MODALITA’ DI INTEGRAZIONE FRA ISO 9001: 2015 E GDPR. GRAZIE A CHI AVUTO LA PAZIENZA DI PERCORRERE CON NOI TUTTO QUESTO LUNGO CAMMINO
Commenti recenti