Continua in nostro viaggio all’interno della ISO 9001:2015 per mettere a fuoco quale siano i punti di contatto con il Regolamento Europeo GDPR per la privacy al fine di una possibile integrazione fra i due sistemi di gestione
Riassumendo le puntate precedenti, nel primo articolo “GDPR e ISO9001:2015 NEI SERVIZI: ANALISI DEL CONTESTO” abbiamo analizzato come deve essere impostata una corretta valutazione del contesto, nel secondo articolo GDPR e ISO9001:2015 NEI SERVIZI: PIANIFICAZIONE e LEADERSHIP quale deve essere il comportamento dell’Alta Direzione in un sistema integrato ISO 9001 : 2015 e GDPR con cenni sulla Risk Analysis, mentre nel terzo articolo “GDPR e ISO9001:2015 NEI SERVIZI: SUPPORTO ” abbiamo parlato di Risorse umane, strumentali ,Competenze, Comunicazione e Gestione dei documenti collegati alla Privacy
In questo quarto contributo andiamo a spiegare quale siano i principali elementi di cui tener conto, (in una corretta gestione della Privacy) nel determinare i requisiti dei servizi offerti e allorquando si effettuano attività di progettazione.
1. PIANIFICAZIONE E CONTROLLI OPERATIVI (8.1)
Nel pianificare gli aspetti di conformità al GDPR per la erogazione di servizi che implicano trattamenti di Dati Personali, i principali aspetti da tenere presenti riguardano: l’assegnazione dei Responsabili e/o degli Incaricati per gli specifici trattamenti, le eventuali istruzioni per una corretta loro gestione, e l’impostazione di adeguati sistemi tecnici ed organizzativi da applicare per la sicurezza dei dati trattati.
2. REQUISITI PER I SERVIZI (8.2)
Quando una organizzazione, nello svolgere le proprie attività di erogazione di un servizio, effettua trattamenti di Dati Personali, tale organizzazione deve determinare fra i vari requisiti della propria offerta (8.2.2) (nella logica del Privacy by default) anche quelli che riguardano la Gestione della Privacy che poi saranno oggetto di Riesame (8.2.3) .
In particolare, se tale offerta riguarda servizi erogati su richiesta di uno specifico cliente, è importante stabilire contrattualmente chi ha il dovere, per esempio, di richiedere il consenso agli interessati coinvolti (tipico esempio riguarda le interviste effettuate a soggetti per indagini di mercato)
Nel caso invece sia l’azienda a proporre un proprio servizio al mercato, i requisiti che contemplino i criteri e le modalità di trattamento dovranno essere riportati in una Informativa realizzata sulla base di quanto richiesto all’art. 13 del GDPR
In tutti i casi per quanto riguarda la Comunicazione con il Cliente (8.2.1) è necessario definire i criteri e le modalità con cui l’organizzazione garantisce la possibilità di esercitare i propri diritti da parte di tutti gli interessati e gestisce le eventuali violazioni della privacy (data breaches).
3. PROGETTAZIONE E SVILUPPO (8.3)
Quando un’organizzazione effettua attività progettuali che riguardano la realizzazione di nuovi servizi, per i quali vengono effettuati trattamenti di Dati Personali, nel determinare gli elementi di ingresso alla progettazione e sviluppo (8.3.3) è necessario, nella logica del Privacy by default, tenere presente anche i requisiti organizzativi che permettono di effettuare tali trattamenti in conformità al GDPR (ingegnerizzazione del servizio)
Gli aspetti collegati agli impatti sulla privacy devono poi essere oggetto dei controlli della progettazione e sviluppo (8.3.4) sia in termine di verifica, di riesame ed anche di validazione della progettazione: quest’ultima attività di controllo è necessaria soprattutto qualora i contesti dove si eroghi lo stesso servizio prevedano il coinvolgimento di categorie diverse di Dati Personali.
Infine i risultati della progettazione e sviluppo (8.3.5) possono prevedere anche un aggiornamento del Registro Trattamento Dati Personali (dove venga utilizzato) sulla base di quanto emerso in fase progettuale.
GRAZIE PER L’ATTENZIONE e vi aspetto per il quinto contributo sul legame fra ISO 9001 e GDPR che riguarderà le FORNITURE ESTERNE e l’EROGAZIONE DEL SERVIZIO
Commenti recenti