QSA.netGdpr e la gestione dei processi: cosa fare “dopo il 25 maggio 2018”?
Il Gdpr è entrato in vigore, hai mappato tutti i trattamenti e gli archivi informatici, prodotto e inviato informative, richiesto consensi, definito procedure e modalità operative, individuato il  personale autorizzato e incaricato i responsabili esterni al trattamento: ti meriti una pacca sulla spalla, sanzioni evitate.

Già…E poi? Ti sei già chiesto cosa fare per capitalizzare tutto il lavoro svolto? È qui che entra in gioco QSA.net, lo strumento cloud per la gestione dei processi organizzativi della tua azienda. Quello che segue è una breve sintesi delle principali funzionalità offerte da QSA.net che possono essere molto interessanti per la gestione del “dopo 25 maggio 2018”.
Se sei già un cliente QSA.net troverai qualche spunto di riflessione, se non sei già cliente di QSA.net scoprirai un software che non parla “solo” di Qualità, ma soprattutto di organizzazione e per questo può essere molto utile anche per gestire il GDPR.

Setup. Il primo suggerimento è quello di creare nel setup alla voce “Sistemi” un nuovo record con codice GDPR e descrizione “Privacy”. Ci servirà per catalogare in modo appropriato tutto quello che andremo a mettere in gestione in QSA.net, sia dati che documenti.

Documenti di Sistema. In questa sezione potremo archiviare e mettere a disposizione del personale interessato tutti i documenti creati: procedure, istruzioni, modulistica. La loro gestione potrà contare su un sistema di autorizzazioni e di distribuzione controllata, oltre che di revisione e di storicizzazione. Grazie alle nuove funzionalità introdotte di recente sarà possibile effettuare una distribuzione controllata anche a soggetti esterni, quali, ad esempio, manutentori di sistemi informatici che dovranno adeguarsi alle specifiche di  sicurezza definite.
Non solo: sarà possibile condividere le informative con Clienti e Fornitori generando uno specifico login per accedere ai documenti messi loro a disposizione.

Documenti di origine esterna. Qui è possibile riportare i link ai testi normativi, al sito del garante e ai principali pareri che ha rilasciato e che può essere comodo avere prontamente raggiungibili.

Registrazioni. In questa sezione è possibile creare gli archivi dove mantenere le registrazioni dei consensi raccolti, perlomeno tutti quelli che esulano da strumenti automatizzati di mailing. Volendo farne una collezione ordinata, inoltre, è possibile archiviare le informative inviate da soggetti terzi creando un apposito punto di archiviazione.

Persone e competenze. Questa sezione è cruciale. Non solo possiamo tenere conto della formazione specifica fatta al personale in materia di Privacy, ma è possibile mappare le mansioni specifiche che impattano sul trattamento e valutare le relative competenze necessarie. Qui potranno essere archiviate le (eventuali) lettere di incarico e sarà inoltre possibile definire, tramite il setup, specifici ruoli a cui associare gli appropriati percorsi formativi.

Infrastruttura. Potranno rientrare in questa sezione tutti i controlli sull’infrastruttura informatica atti a garantire l’attuazione delle misure di sicurezza. In questo modo sarà possibile ricevere direttamente in casella di posta i promemoria in merito alle attività da svolgere.

Audit. Inutile ribadire l’importanza di un sistema di verifica da parte di personale indipendente in merito alla corretta attuazione delle procedure definite. Gli audit potranno essere pianificati e archiviati insieme con le eventuali non conformità e azioni correttive necessarie.

Non conformità e azioni correttive. Una delle principali novità del GDPR riguarda un tema che nessuno vorrebbe mai dover affrontare: il databreach. La perdita o, peggio, la sottrazione di dati personali. Un problema che richiede l’attuazione di una specifica procedura di comunicazione con il garante. In questo caso, oltre a inserire nel setup le corrette causali, si potranno pianificare specifiche attività di follow up. Al di fuori di questa nefasta possibilità in questa sezione sarà importante tenere traccia di problemi e anomalie al fine di intervenire in modo appropriato e preventivo.

Valutazione dei fornitori esterni. Questa è un’altra sezione molto importante per la gestione del GDPR, in cui è possibile archiviare le nomine predisposte per i responsabili esterni al trattamento oppure le informative inviate dai fornitori di servizi, ma anche definire parametri di valutazione dei fornitori critici in materia di Privacy al fine di una adeguata valutazione.

Risk Based Thinking. Se vuoi utilizzare una metodologia normata quale la ISO 31000 per analizzare il contesto, i bisogni e le aspettative, i rischi e le opportunità correlate alla gestione dei dati personali questa è la sezione di QSA.net che potrai sfruttare.
Il risultato che puoi ottenere è una mappatura completa che permette di tenere sotto controllo i rischi e cogliere tutte le opportunità.

Forse ci siamo dimenticati qualcosa? I più esperti conoscitori di QSA.net sicuramente troveranno nuovi spunti per il suo utilizzo in azienda, contattaci gl.caccia@qsanet.it.

Close
Iscriviti alla nostra newsletter

Iscriviti alla nostra newsletter

Iscrivendoti alla nostra newsletter riceverai news e informazioni di Consind srl

Grazie per esserti iscritto!

Share This