Dopo aver analizzato nel primo articolo “GDPR e ISO9001:2015 NEI SERVIZI: ANALISI DEL CONTESTO” come deve essere impostata una corretta valutazione del contesto nella gestione dei dati personali e nel secondo articolo “GDPR e ISO9001 2015 NEI SERVIZI: PIANIFICAZIONE e LEADERSHIP ” quale deve essere il comportamento dell’Alta Direzione e come deve essere impostata un corretta Risk Analysis in un sistema integrato ISO 9001 : 2015 e GDPR , in questo terzo contributo andiamo a spiegare quale sono le necessità in termini di Risorse umane ed infrastrutturali, Competenze, Comunicazione e come i documenti devono essere correttamente gestiti per poter essere conformi al Regolamento Europeo all’interno di Un sistema di Gestione per la Qualità
1. RISORSE (7.1)
Questo aspetto del Sistema Qualità, che tratta delle risorse necessarie per la corretta attuazione del sistema di gestione, può ovviamente essere facilmente integrato con quanto necessario per la gestione anche dei Dati Personali sulla base di quanto richiesto dal Regolamento Europeo.
In particolare è necessario rendere disponibili, per i vari trattamenti individuati, le Persone (7.1.2) e le Infrastrutture (7.1.3) che riguardano sia una gestione dei Dati Personali informatica, sia una gestione cartacea o con altri strumenti (es. audiovisivi).
Ad esempio è estremamente importante individuare quali strumenti applicativi possono essere utilizzati per garantire la Disponibilità, l’Autenticità, l’integrità e la Riservatezza dei Dati Personali memorizzati elettronicamente
È altresì importante, al fine di migliorare la gestione delle attività collegate al GDPR all’interno della Conoscenza organizzativa (7.1.6) , operare per acquisire le informazioni necessarie relative agli argomenti connessi alla privacy sia in termini di nuovi aspetti legislativi (es. nuove indicazioni del garante della privacy) sia attraverso l’esperienza propria o di altre organizzazioni simili.
2. COMPETENZA (7.2)
Come per gli altri ruoli e mansioni del Sistema Qualità, per ogni funzione coinvolta nella Gestione della Privacy, è necessario stabilire il grado di competenza richiesta dall’organizzazione, in termini di livello di conoscenza, esperienza e formazione necessarie, per svolgere le attività connesse al trattamento dei Dati Personali individuati.
In particolare, per tutti gli operatori sarebbe necessario acquisire, anche attraverso corsi di formazione aziendale, quanto disposto dal Regolamento Europeo GDPR; per chi è invece occupa posizioni apicali la competenza dovrebbe essere estesa anche a quanto stabilito dal Garante della Privacy in relazione ai problemi connessi al settore di business di appartenenza dell’azienda
3. COMUNICAZIONE (7.4)
L’attività di Comunicazione è una dei capisaldi di una corretta gestione della Privacy conforme al GDPR. Infatti è necessario determinare dapprima i contenuti con cui creare le varie informative sulla Privacy che l’organizzazione intende presentare ai reali o potenziali interessati, e successivamente stabilire le metodologie con cui tali informative sono diffuse agli interessati e con cui vengono raccolti gli eventuali consensi .
Inoltre è importante mettere a punto anche le corrette modalità di trasmissione dei Dati Personali, quando questi sono ceduti a destinatari terzi, al fine di preservarne Disponibilità, Autenticità, Integrità e Riservatezza
4. INFORMAZIONI DOCUMENTATE (7.5)
È importante determinare le modalità di realizzazione, distribuzione, accesso, utilizzo, conservazione, modifica ed eliminazione della documentazione collegata al rispetto del GDPR e stabilire le autorità che hanno responsabilità di tale gestione.
In particolare la documentazione da gestire può riguardare la Creazione ed Aggiornamento (7.5.2) e Controllo delle Informazioni Documentate (7.5.3) delle Informative presentate agli Interessati, degli incarichi e le relative approvazioni per i ruoli di Titolare e dei Responsabili dei trattamenti dei dati, di eventuali procedure o istruzioni di lavoro connesse alla Gestione della Privacy e dell’eventuale Registro dei Trattamenti (obbligatorio sopra i 250 dipendenti e in tutte le amministrazioni pubbliche) .
Infine è necessario definire anche come sono gestite le evidenze dei consensi ai trattamenti previsti dei Dati Personali eventualmente richiesti agli interessati.
Commenti recenti