gdpr sistemi gestioneLa data prevista è arrivata e ci chiediamo quale impatto avrà l’entrata in vigore del nuovo GDPR sui sistemi di gestione.

La nuova legislazione interessa tutte Aziende, ma se consideriamo che tutte le certificazioni ISO partono dal presupposto di una perfetta conformità ai requisiti stabiliti dalla legge, il GDPR coinvolge “soprattutto” le organizzazioni certificate. Aspettiamoci quindi che dalla prossima visita l’auditor potrà chiedere come il GDPR sia stato recepito dall’Azienda e questo potrà avvenire soprattutto attraverso una valutazione dei rischi correlati al business dell’Azienda (pensiamo alla differenza dell’impatto del GDPR e pertanto alla sua rilevanza ai fini di un Sistema di Gestione per Qualità di una piccola azienda manifatturiera B2B rispetto a una grande azienda che vende B2C o che opera in settori sensibili quale quello della salute).

Qual è dunque l’impatto del GDPR sui sistemi di gestione?

Le Organizzazioni sono attraversate da una grande quantità di dati. Per capire che tipo di informazioni sono presenti e dove, è importante procedere a una mappatura dei dati raccolti. Il suggerimento è quello di considerare i soggetti cui i dati fanno riferimento alla stregua delle “parti interessate” del contesto. La maggior parte dei dati personali può essere ricondotta a tre categorie di soggetti: dipendenti, clienti e fornitori.  Una volta identificate le “parti interessate” si può continuare classificando le diverse tipologie di dati che a queste fanno capo: dati personali, dati aziendali, dati finanziari etc. Relativamente a questo punto è opportuno aprire una parentesi importante: il GDPR è applicabile esclusivamente ai dati personali ma i suoi principi possono essere estesi alla gestione di qualsiasi tipologia di dato.

Arrivati a questo punto è importante sapere dove sono archiviati i dati e per fare questo può essere utile analizzare la mappa dei processi che utilizzano tali dati. Affinché i dati siano adeguatamente trattati è doveroso dotarsi di specifiche procedure. Il GDPR evidenzia i diritti delle persone a un corretta gestione dei loro dati. L’osservanza di tali diritti passa anche per la capacità dell’Azienda di dimostrare in qualsiasi momento in che modo ne sta garantendo il rispetto. In questo senso rilevano due importanti interrogativi:

  • In che modo le organizzazioni garantiscono il diritto all’oblio? Ovvero secondo quali modalità si procederà alla cancellazione definitiva dei dati salvati?
  • Come gestire le richieste dei clienti finalizzate all’ottenimento di un elenco completo delle informazioni trattate per ciascuna persona?

Queste sono solo due delle questioni rilevanti in materia, dalle quali si evince chiaramente la  necessità che le Organizzazioni integrino nei loro sistemi aziendali specifiche procedure, documenti operativi e moduli finalizzati a garantire un corretto trattamento dei dati in ogni momento. Dal punto di vista organizzativo queste procedure devono essere applicate da ruoli ben definiti. È per esempio doveroso verificare se sia necessaria o meno la nomina di un responsabile per la protezione dei dati (DPO). Laddove sia prevista la nomina di un responsabile per la protezione dei dati personali è opportuno integrare questa figura nel sistema di gestione aziendale.
Occorre quindi tenere conto delle autorizzazioni al trattamento dei dati da parte del personale interno ed esterno e pertanto delle mansioni previste e delle competenze richieste per chi è “persona autorizzata” al trattamento o per chi assume il ruolo di “responsabile esterno al trattamento”. Ne deriva la necessità di gestire attività di formazione generica, per tutto il personale, e specifica, per chi assume determinati ruoli.

L’ultima parte del GDPR prescrive inoltre che l’organizzazione definisca una politica relativa alla gestione e protezione dei dati. Questa politica dovrebbe risultare sempre disponibile e facilmente accessibile alle parti interessate.
In conclusione, il GDPR ha un chiaro impatto sui sistemi di gestione. Il suggerimento che possiamo dare è quello di considerarlo a pieno titolo una parte integrante del “Sistema di Gestione Aziendale” attraverso modalità conosciute, condivise e, ovviamente, digitalizzate.

Close
Iscriviti alla nostra newsletter

Iscriviti alla nostra newsletter

Iscrivendoti alla nostra newsletter riceverai news e informazioni di Consind srl

Grazie per esserti iscritto!

Share This