Continua in nostro viaggio all’interno della ISO 9001:2015 per mettere a fuoco quale siano i punti di contatto con il Regolamento Europeo GDPR per la privacy  al fine di una possibile integrazione fra i due sistemi di gestione

Riassumendo le puntate precedenti, nel primo articolo “GDPR e ISO9001:2015 NEI SERVIZI: ANALISI DEL CONTESTO” abbiamo analizzato come deve essere impostata una corretta valutazione del contesto, nel secondo articolo  GDPR e ISO9001:2015 NEI SERVIZI: PIANIFICAZIONE e LEADERSHIP  quale deve essere il comportamento dell’Alta Direzione in un sistema integrato ISO 9001 : 2015 e GDPR  con cenni sulla Risk Analysis, mentre nel terzo articolo “GDPR e ISO9001:2015 NEI SERVIZI: SUPPORTO ” abbiamo parlato  di Risorse umane, strumentali ,Competenze, Comunicazione e Gestione dei documenti collegati alla Privacy

In questo quarto contributo andiamo a spiegare quale siano i principali elementi di cui tener conto, (in una corretta gestione della Privacy) nel determinare i requisiti dei servizi offerti e allorquando si effettuano attività di progettazione.

1.    PIANIFICAZIONE E CONTROLLI OPERATIVI (8.1)

Nel pianificare gli aspetti di conformità al GDPR per la erogazione di servizi che implicano trattamenti di Dati Personali, i principali aspetti da tenere presenti riguardano: l’assegnazione dei Responsabili e/o degli Incaricati per gli specifici trattamenti, le eventuali istruzioni per una corretta loro gestione, e l’impostazione di adeguati sistemi tecnici ed organizzativi  da applicare per la sicurezza dei dati trattati.

2.    REQUISITI PER I SERVIZI (8.2)

Quando una organizzazione, nello svolgere le proprie attività di erogazione di un servizio, effettua trattamenti di Dati Personali, tale organizzazione deve determinare fra i vari requisiti della propria offerta (8.2.2) (nella logica del Privacy by default) anche quelli che riguardano la Gestione della Privacy che poi saranno oggetto di Riesame (8.2.3) .

In particolare, se tale offerta riguarda servizi erogati su richiesta di uno specifico cliente, è importante stabilire contrattualmente chi ha il dovere, per esempio, di richiedere il consenso agli interessati coinvolti (tipico esempio riguarda le interviste effettuate a soggetti per indagini di mercato)

Nel caso invece sia l’azienda a proporre un proprio servizio al mercato,  i requisiti che contemplino i criteri e le modalità  di trattamento dovranno essere riportati in una Informativa realizzata sulla base di quanto richiesto all’art. 13 del GDPR

In tutti i casi per quanto riguarda la Comunicazione con il Cliente (8.2.1) è necessario definire i criteri e le modalità con cui l’organizzazione garantisce la possibilità di esercitare i propri diritti da parte di tutti gli  interessati e gestisce  le eventuali violazioni della privacy (data breaches).

3.    PROGETTAZIONE E SVILUPPO (8.3)

Quando un’organizzazione effettua attività progettuali che riguardano la realizzazione di nuovi servizi, per i quali vengono effettuati trattamenti di Dati Personali, nel determinare gli elementi di ingresso alla progettazione e sviluppo (8.3.3)  è necessario, nella logica del Privacy by default, tenere presente anche i requisiti organizzativi che permettono di effettuare tali trattamenti in conformità al GDPR (ingegnerizzazione del servizio)

Gli aspetti collegati agli impatti sulla privacy devono poi essere oggetto dei controlli della progettazione e sviluppo (8.3.4)  sia in termine di verifica, di riesame ed anche di validazione della progettazione: quest’ultima attività di controllo è necessaria soprattutto qualora i contesti dove si eroghi lo stesso servizio prevedano il coinvolgimento di categorie diverse di Dati Personali.

Infine i  risultati della progettazione e sviluppo (8.3.5) possono prevedere anche un aggiornamento del Registro Trattamento Dati Personali (dove venga utilizzato) sulla base di quanto emerso in fase progettuale.

GRAZIE PER L’ATTENZIONE  e vi aspetto per il quinto contributo sul legame fra ISO 9001 e GDPR  che riguarderà  le FORNITURE ESTERNE e  l’EROGAZIONE DEL SERVIZIO

De Martino Antonio

De Martino Antonio

Laurea in matematica presso l’Università degli Studi di Milano. Sono cresciuto professionalmente nell’ ambito della Informatica Industriale all’interno di progetti per le Telecomunicazioni e di Automazione e dal 1990 mi occupo di consulenza aziendale sia su temi di compliance normativa, di processo e di prodotto, sia su temi di gestione aziendale. Da oltre dieci anni inoltre mi occupo di argomenti legati al web ed alle vendite on line con particolare riguardo agli aspetti organizzativi, di comunicazione, di security e di Privacy Ho all’attivo interventi che riguardano più di 100 aziende sia manifatturiere sia di servizi di diverse dimensioni

Leave a Reply