L’avvento del nuovo regolamento europeo sulla privacy, costringerà molte aziende ad impostare la conformità a tale dispositivo normativo non più, come era stato fino ad ora, come una serie di regole da rispettare, ma come un vero e proprio Sistema di Gestione con attività e processi che vengono sviluppati secondo il classico ciclo Plan Do Check and Act.
In particolare, quelle aziende che propongono Servizi all’interno dei quali sono presenti consistenti trattamenti di Dati Personali (pensiamo ai Servizi alla Persona, alle Ricerche di Mercato, oppure alle Agenzie di Somministrazione di lavoro ecc.), e che agiscono già nell’ambito di un Sistema di gestione per la Qualità certificato ISO9001:2015, possono pensare di gestire la Privacy, così come prevista dal nuovo Regolamento europeo, come un sistema completamente integrato.
L’armonizzazione del Regolamento Europeo GDPR con un Sistema di gestione per la Qualità, ha l’indubbio vantaggio di rendere conforme ed in modo efficace la Privacy aziendale ai due principi cardine del GDPR stesso che sono:
- Privacy by default in quanto per ogni processo dell’organizzazione, viene sempre tenuto ben presente il concetto di adeguato trattamento degli eventuali Dati Personali
- Privacy by Design in quanto la corretta gestione dei Dati Personali viene progettata partendo dai processi aziendali già esistenti all’interno del Sistema Qualità oppure attraverso la creazione di nuovi specifici processi.
In questo articolo, ed in quelli che saranno pubblicati successivamente, cercheremo di analizzare in quali punti della UNI EN ISO 9001:2015 potrebbe essere effettuata una corretta integrazione con il GDPR e in che modo tale Sistema potrebbe essere descritto in un eventuale (anche se non più obbligatorio) Manuale per la Qualità.
In questo primo contributo partiamo ad analizzare il CONTESTO DELL’ORGANIZZAZIONE (cap. 4)
1. IL CONTESTO (4.1)
Il primo punto in cui valutare l’integrazione fra ISO9001 e GDPR è il Contesto all’interno del quale è necessario determinare i fattori esterni ed interni rilevanti per le finalità che si intendono raggiungere. La definizione del contesto in cui si opera, nel caso del GDPR, è importante soprattutto per stabilire il grado di identificabilità di una persona fisica e di conseguenza il grado delle azioni di intervento a tutela della sua Privacy.
Ad esempio, rendere pubblico il profilo di una persona di cui si mettono in evidenza solo alcuni aspetti fisici (altezza, porta gli occhiali, capelli neri ecc.) in un piccolo ambiente aziendale, rende tale persona molto più identificabile rispetto al fatto di comunicare il profilo di Mario Rossi in ambito geografico nazionale: anche se il primo è un profilo apparentemente più anonimo del secondo. Quindi il grado di tutela della Privacy deve essere nel primo caso certamente superiore
2. PARTI INTERESSATE (4.2)
Nel determinare le parti interessate ed i requisiti di tali parti interessate, vanno individuati tutti gli attori che operano, a vario titolo, nella gestione e nel trattamento dei Dati Personali.
In particolare le parti interessate più rilevanti nella gestione della Privacy sono ovviamente “gli interessati”, cioè coloro a cui sono intestati i Dati Personali e poi il Titolare del Trattamento dei dati personali, i Responsabili e gli eventuali Incaricati , il DPO (ove presente) oltre a tutte le “categorie di Destinatari” (sia interne all’organizzazione, sia esterne), ma anche l’autorità di Controllo (garante della Privacy).
É necessario individuare quali siano le esigenze di ciascuna parte interessata e le azioni che si intendono intraprendere per soddisfare tali esigenze. Ad esempio per quanto riguarda gli Interessati sono da mettere in rilievo come requisiti, i Diritti di tali soggetti (revoca del consenso, opposizione o limitazione del trattamento, rettifica integrazione o cancellazione dei dati ecc.) e che sono messi in particolare evidenza dal GDPR .
È necessario quindi stabilire quali attività o quali processi siano da implementare per agevolare la possibilità di esercitare tali diritti.
3. PROCESSI (4.4)
In un Sistema per la Qualità conforme alla ISO 9001:2015 uno degli aspetti più importanti riguarda la gestione di tale sistema attraverso i processi che lo compongono. Per cui l’integrazione del GDPR, per quanto riguarda questo paragrafo, riguarda principalmente le seguenti tipologie di processi:
- I processi operativi, di supporto e di sistema, già individuati nel Sistema Qualità, all’interno dei quali sono da enucleare quelle fasi che possono trattare Dati Personali e valutare come modificare tali processi per includere anche attività ed elementi di gestione di tali dati.
- Processi specifici per la gestione dei dati personali individuati, quali quelli che, ad esempio, mettono in campo misure per la sicurezza di tali dati
- Altri processi, non contemplati, perché in alcuni casi non ritenuti strettamente pertinenti al Sistema Qualità (es. quello relativo alla Gestione del Personale: ferie, permessi, visite mediche stipendi ecc. ), ma che comportano trattamenti di Dati Personali.
In tutti i casi è necessario effettuare opportune Analisi dei Rischi di processo, che devono contemplare quindi anche aspetti collegati al trattamento dei Dati Personali.
GRAZIE PER L’ATTENZIONE e vi aspetto per il secondo contributo sul legame fra ISO 9001 e GDPR e che riguarderà LEADERSHIP e PIANIFICAZIONE
Commenti recenti