Dopo aver analizzato nel primo articolo “GDPR e ISO9001 2015 NEI SERVIZI: ANALISI DEL CONTESTO” quale debba essere la corretta valutazione del contesto aziendale in un sistema integrato ISO 9001:2015 e GDPR, in questo secondo contributo andiamo a spiegare quali sono i compiti e soprattutto quale dovrebbe essere l’atteggiamento dell’Alta Direzione affinché si realizzi una corretta gestione della Privacy all’interno di un Sistema Qualità
1. LEADERSHIP ED IMPEGNO (5.1)
L’alta direzione deve dimostrare di avere l’attenzione necessaria, oltre a quanto richiesto per una corretta gestione del Sistema Qualità, anche per quegli aspetti che permettono una efficace gestione dei Dati Personali.
Ad esempio deve:
- promuovere la comunicazione dell’importanza di una corretta gestione dei Dati Personali e del completo rispetto del Regolamento europeo 2016/679
- individuare le figure professionali (interne o esterne) che possano assumere il ruolo di Titolare o Contitolari per il trattamento dei Dati Personali
- promuovere un approccio di Privacy by Default e Privacy by Design in tutte le attività che caratterizzano l’organizzazione
- assicurare che le esigenze degli interessati, a cui si riferiscano i Dati Personali, siano sempre prese in primaria considerazione dall’Organizzazione
In particolare, quando i Dati Personali, sui quali l’organizzazione effettua specifici trattamenti, riguardano soggetti direttamente collegati a clienti di tale organizzazione, attraverso la Focalizzazione sul cliente (5.1.2) è necessario che sia soprattutto mantenuta una costante attenzione sui rischi che i vari trattamenti potrebbero comportare.
Ad esempio in indagini per ricerche di mercato, quando tali indagini sono realizzate su profili forniti dal committente, è chiaro che bisogna dare la massima evidenza al fatto che siano attuate iniziative per garantire la Disponibilità, l’Autenticità, l’integrità e la Riservatezza dei Dati Personali come risultato di una dettagliata analisi dei rischi
2. POLITICA (5.2)
In un sistema integrato Qualità / GDPR la Politica per la Qualità deve essere sempre integrata con la Politica per la Privacy. In linea generale tale politica deve descrivere, in modo sintetico, i principali elementi che riguardano la gestione della Privacy, quali ad esempio:
- le tipologie di informazioni raccolte,
- le finalità dei trattamenti sui Dati Personali,
- le categorie di Destinatari dei dati raccolti,
- le misure tecniche ed organizzative adottate per i trattamenti,
- le modalità di esercizio dei Diritti degli Interessati ecc.
Tale politica, nel caso di alcune attività che coinvolgono direttamente alcune tipologie di utenti, come ad esempio le vendite on-line, può coincidere del tutto con l’Informativa sulla Privacy che va opportunamente comunicata (5.2.2) sul sito web
3. RUOLI RESPONSABILITÀ ED AUTORITÀ (5.3)
Questo aspetto del Sistema per la Qualità è in genere rappresentato attraverso un’organigramma che visualizza le funzioni, le mansioni e le loro interazioni. Nel processo di integrazione con il GDPR devono essere definiti anche ruoli e mansioni per quelle funzioni che sono coinvolte nella gestione della Privacy, come ad esempio
- Titolari o Contitolari del Trattamento dei Dati Personali,
- Responsabili ed incaricati del trattamento
- la figura del DPO (Data Protection Officer) ove previsto.
Il mansionario, che generalmente descrive le attività e responsabilità di ciascuna funzione individuata, dovrà essere quindi opportunamente integrato con quanto attinente alla gestione dei Dati Personali.
In questo caso, se sufficientemente dettagliato, può essere utilizzato come descrizione base per le lettere di incarico da conferire a tutti gli attori coinvolti nella gestione della Privacy ( Titolari, responsabili, Incaricati, DPO ecc)
4. RISCHI ED OPPORTUNITÀ (6.1)
Accanto alla definizione ed impostazione di una analisi dei rischi e delle opportunità sia strategiche (legati alle minacce ed opportunità individuate nel contesto) sia di processo e sia di prodotto richieste dalla ISO9001, è necessario impostare anche un’analisi dei rischi di impatto D.P.I.A (cioè Data Protection Impact Assessment) del trattamento dei Dati Personali. Grazie a tale analisi si valutano in modo preventivo le possibili conseguenze del trattamento dei Dati Personali sulle libertà e i diritti degli interessati e quindi determinare le misure tecniche ed organizzative ritenute adeguate per garantire tale libertà e tali diritti.
5. OBIETTIVI (6.2)
L’alta direzione dovrebbe stabilire obiettivi misurabili per la gestione della Privacy che dovrebbero essere coerenti con la Politica della Privacy. Tali obiettivi potrebbero riguardare per esempio indicatori quali:
- numero di potenziali data Breaches individuati,
- tempi di risposta alle richieste di esercitare i diritti degli Interessati,
- grado di efficienza ed efficacia dei sistemi organizzativi e tecnici connessi alla gestione dei dati Personali.,
Essi dovrebbero essere assegnati alle funzioni dell’azienda coinvolte come Titolari, Responsabili ed Incaricati del trattamento dei Dati Personali.
GRAZIE PER L’ATTENZIONE e vi aspetto per il terzo contributo sul legame fra ISO 9001 e GDPR e che riguarderà le ATTIVITÀ DI SUPPORTO
Commenti recenti