GDPR, fatto tutto e poi?

QSA.netGdpr e la gestione dei processi: cosa fare “dopo il 25 maggio 2018”?
Il Gdpr è entrato in vigore, hai mappato tutti i trattamenti e gli archivi informatici, prodotto e inviato informative, richiesto consensi, definito procedure e modalità operative, individuato il  personale autorizzato e incaricato i responsabili esterni al trattamento: ti meriti una pacca sulla spalla, sanzioni evitate.

Già…E poi? Ti sei già chiesto cosa fare per capitalizzare tutto il lavoro svolto? È qui che entra in gioco QSA.net, lo strumento cloud per la gestione dei processi organizzativi della tua azienda. Quello che segue è una breve sintesi delle principali funzionalità offerte da QSA.net che possono essere molto interessanti per la gestione del “dopo 25 maggio 2018”.
Se sei già un cliente QSA.net troverai qualche spunto di riflessione, se non sei già cliente di QSA.net scoprirai un software che non parla “solo” di Qualità, ma soprattutto di organizzazione e per questo può essere molto utile anche per gestire il GDPR.

Setup. Il primo suggerimento è quello di creare nel setup alla voce “Sistemi” un nuovo record con codice GDPR e descrizione “Privacy”. Ci servirà per catalogare in modo appropriato tutto quello che andremo a mettere in gestione in QSA.net, sia dati che documenti.

Documenti di Sistema. In questa sezione potremo archiviare e mettere a disposizione del personale interessato tutti i documenti creati: procedure, istruzioni, modulistica. La loro gestione potrà contare su un sistema di autorizzazioni e di distribuzione controllata, oltre che di revisione e di storicizzazione. Grazie alle nuove funzionalità introdotte di recente sarà possibile effettuare una distribuzione controllata anche a soggetti esterni, quali, ad esempio, manutentori di sistemi informatici che dovranno adeguarsi alle specifiche di  sicurezza definite.
Non solo: sarà possibile condividere le informative con Clienti e Fornitori generando uno specifico login per accedere ai documenti messi loro a disposizione.

Documenti di origine esterna. Qui è possibile riportare i link ai testi normativi, al sito del garante e ai principali pareri che ha rilasciato e che può essere comodo avere prontamente raggiungibili.

Registrazioni. In questa sezione è possibile creare gli archivi dove mantenere le registrazioni dei consensi raccolti, perlomeno tutti quelli che esulano da strumenti automatizzati di mailing. Volendo farne una collezione ordinata, inoltre, è possibile archiviare le informative inviate da soggetti terzi creando un apposito punto di archiviazione.

Persone e competenze. Questa sezione è cruciale. Non solo possiamo tenere conto della formazione specifica fatta al personale in materia di Privacy, ma è possibile mappare le mansioni specifiche che impattano sul trattamento e valutare le relative competenze necessarie. Qui potranno essere archiviate le (eventuali) lettere di incarico e sarà inoltre possibile definire, tramite il setup, specifici ruoli a cui associare gli appropriati percorsi formativi.

Infrastruttura. Potranno rientrare in questa sezione tutti i controlli sull’infrastruttura informatica atti a garantire l’attuazione delle misure di sicurezza. In questo modo sarà possibile ricevere direttamente in casella di posta i promemoria in merito alle attività da svolgere.

Audit. Inutile ribadire l’importanza di un sistema di verifica da parte di personale indipendente in merito alla corretta attuazione delle procedure definite. Gli audit potranno essere pianificati e archiviati insieme con le eventuali non conformità e azioni correttive necessarie.

Non conformità e azioni correttive. Una delle principali novità del GDPR riguarda un tema che nessuno vorrebbe mai dover affrontare: il databreach. La perdita o, peggio, la sottrazione di dati personali. Un problema che richiede l’attuazione di una specifica procedura di comunicazione con il garante. In questo caso, oltre a inserire nel setup le corrette causali, si potranno pianificare specifiche attività di follow up. Al di fuori di questa nefasta possibilità in questa sezione sarà importante tenere traccia di problemi e anomalie al fine di intervenire in modo appropriato e preventivo.

Valutazione dei fornitori esterni. Questa è un’altra sezione molto importante per la gestione del GDPR, in cui è possibile archiviare le nomine predisposte per i responsabili esterni al trattamento oppure le informative inviate dai fornitori di servizi, ma anche definire parametri di valutazione dei fornitori critici in materia di Privacy al fine di una adeguata valutazione.

Risk Based Thinking. Se vuoi utilizzare una metodologia normata quale la ISO 31000 per analizzare il contesto, i bisogni e le aspettative, i rischi e le opportunità correlate alla gestione dei dati personali questa è la sezione di QSA.net che potrai sfruttare.
Il risultato che puoi ottenere è una mappatura completa che permette di tenere sotto controllo i rischi e cogliere tutte le opportunità.

Forse ci siamo dimenticati qualcosa? I più esperti conoscitori di QSA.net sicuramente troveranno nuovi spunti per il suo utilizzo in azienda, contattaci gl.caccia@qsanet.it.

L’impatto del Gdpr sui sistemi di gestione

gdpr sistemi gestioneLa data prevista è arrivata e ci chiediamo quale impatto avrà l’entrata in vigore del nuovo GDPR sui sistemi di gestione.

La nuova legislazione interessa tutte Aziende, ma se consideriamo che tutte le certificazioni ISO partono dal presupposto di una perfetta conformità ai requisiti stabiliti dalla legge, il GDPR coinvolge “soprattutto” le organizzazioni certificate. Aspettiamoci quindi che dalla prossima visita l’auditor potrà chiedere come il GDPR sia stato recepito dall’Azienda e questo potrà avvenire soprattutto attraverso una valutazione dei rischi correlati al business dell’Azienda (pensiamo alla differenza dell’impatto del GDPR e pertanto alla sua rilevanza ai fini di un Sistema di Gestione per Qualità di una piccola azienda manifatturiera B2B rispetto a una grande azienda che vende B2C o che opera in settori sensibili quale quello della salute).

Qual è dunque l’impatto del GDPR sui sistemi di gestione?

Le Organizzazioni sono attraversate da una grande quantità di dati. Per capire che tipo di informazioni sono presenti e dove, è importante procedere a una mappatura dei dati raccolti. Il suggerimento è quello di considerare i soggetti cui i dati fanno riferimento alla stregua delle “parti interessate” del contesto. La maggior parte dei dati personali può essere ricondotta a tre categorie di soggetti: dipendenti, clienti e fornitori.  Una volta identificate le “parti interessate” si può continuare classificando le diverse tipologie di dati che a queste fanno capo: dati personali, dati aziendali, dati finanziari etc. Relativamente a questo punto è opportuno aprire una parentesi importante: il GDPR è applicabile esclusivamente ai dati personali ma i suoi principi possono essere estesi alla gestione di qualsiasi tipologia di dato.

Arrivati a questo punto è importante sapere dove sono archiviati i dati e per fare questo può essere utile analizzare la mappa dei processi che utilizzano tali dati. Affinché i dati siano adeguatamente trattati è doveroso dotarsi di specifiche procedure. Il GDPR evidenzia i diritti delle persone a un corretta gestione dei loro dati. L’osservanza di tali diritti passa anche per la capacità dell’Azienda di dimostrare in qualsiasi momento in che modo ne sta garantendo il rispetto. In questo senso rilevano due importanti interrogativi:

  • In che modo le organizzazioni garantiscono il diritto all’oblio? Ovvero secondo quali modalità si procederà alla cancellazione definitiva dei dati salvati?
  • Come gestire le richieste dei clienti finalizzate all’ottenimento di un elenco completo delle informazioni trattate per ciascuna persona?

Queste sono solo due delle questioni rilevanti in materia, dalle quali si evince chiaramente la  necessità che le Organizzazioni integrino nei loro sistemi aziendali specifiche procedure, documenti operativi e moduli finalizzati a garantire un corretto trattamento dei dati in ogni momento. Dal punto di vista organizzativo queste procedure devono essere applicate da ruoli ben definiti. È per esempio doveroso verificare se sia necessaria o meno la nomina di un responsabile per la protezione dei dati (DPO). Laddove sia prevista la nomina di un responsabile per la protezione dei dati personali è opportuno integrare questa figura nel sistema di gestione aziendale.
Occorre quindi tenere conto delle autorizzazioni al trattamento dei dati da parte del personale interno ed esterno e pertanto delle mansioni previste e delle competenze richieste per chi è “persona autorizzata” al trattamento o per chi assume il ruolo di “responsabile esterno al trattamento”. Ne deriva la necessità di gestire attività di formazione generica, per tutto il personale, e specifica, per chi assume determinati ruoli.

L’ultima parte del GDPR prescrive inoltre che l’organizzazione definisca una politica relativa alla gestione e protezione dei dati. Questa politica dovrebbe risultare sempre disponibile e facilmente accessibile alle parti interessate.
In conclusione, il GDPR ha un chiaro impatto sui sistemi di gestione. Il suggerimento che possiamo dare è quello di considerarlo a pieno titolo una parte integrante del “Sistema di Gestione Aziendale” attraverso modalità conosciute, condivise e, ovviamente, digitalizzate.

Il ruolo del responsabile qualità in un moderno sistema di gestione per qualità

responsabile qualitàLa premessa è che con l’avvento della ISO 9001:2015 il Responsabile Qualità non esiste più o per meglio dire non esiste alcuna accezione che lo definisca. La nuova norma definisce alcuni contenuti minimi che una figura, comunque la si voglia chiamare, deve svolgere al fine di garantire il rispetto dello standard ISO 9001 all’interno dell’Azienda.

Sgomberiamo il campo da ogni dubbio, proseguiamo a chiamare Responsabile Qualità questa figura per una questione di continuità con il passato e per evitare crisi di identità da parte della maggioranza delle persone che potrebbero essere interessate a questo articolo.

La norma ISO 9001:2015 ha completato una trasformazione iniziata nel 2000. Una trasformazione che ha portato la ISO 9001 a passare dall’essere una norma per la conformità (prevalentemente di prodotto) a una norma prestazionale (di processo), volta a garantire, prima ancora che la soddisfazione del cliente, la capacità di fornire con continuità prodotti e servizi. Una norma volta a fornire strumenti per dare continuità al business.

Una delle conseguenze più importanti di questa trasformazione è data dal ruolo e dalle competenze richieste al Responsabile Qualità. Il ruolo di Responsabile Qualità è profondamente cambiato in questi anni: da essere un ruolo tecnico in grado di conoscere il prodotto, i suoi difetti e i processi necessari per evitarli o rimuoverli, a un ruolo in grado di gestire le persone, controllare le performance dei processi e guardare al futuro dell’azienda. Le competenze richieste si sono evolute di conseguenza: da competenze tecniche a competenze gestionali e relazionali. Ne deriva che molto spesso le persone che oggi ricoprono il ruolo non dispongono delle competenze necessarie a far evolvere il Sistema Qualità nella direzione giusta, mantenendolo “bloccato” in uno status quo ormai obsoleto.

Questa trasformazione, ad oggi, è stata colta da poche Aziende e da pochi Responsabili Qualità ed è uno dei principali fattori di insuccesso per la ISO 9001:2015. Questo significa che i Responsabili Qualità dovrebbero essere tutti licenziati in tronco? No di certo. Questo significa che occorre avviare un processo di cambiamento che permetta all’organizzazione di acquisire nuovi strumenti e nuove competenze o valorizzare le competenze nascoste nelle risorse esistenti.

I servizi per la trasformazione digitale del Sistema di Gestione Qualità proposti da Consind hanno l’obiettivo di supportare le aziende nel cambiamento con il preciso obiettivo di aggiungere valore al Sistema Qualità esistente.

Close
Iscriviti alla nostra newsletter

Iscriviti alla nostra newsletter

Iscrivendoti alla nostra newsletter riceverai news e informazioni di Consind srl

Grazie per esserti iscritto!