Privacy e Sistemi di Gestione Qualità (SGQ)

Applicare il GDPR (General Data Protection Regulation) significa (o almeno dovrebbe significare) far entrare nell’operatività quotidiana delle aziende anche la gestione del dato personale (vedi il concetto di privacy by design). Quindi non si dovrebbe vedere l’applicazione del Regolamento Europeo come un qualcosa di burocratico, di carta da fare e poi da lasciare a prendere polvere in un faldone, ma come un processo vero e proprio.

Questo concetto è lo stesso che si attua nei Sistemi di Gestione ben fatti, soprattutto nei Sistemi di Gestione Qualità (UNI EN ISO 9001:2015).

Ecco perché le aziende che hanno già un SGQ possono sfruttare a proprio vantaggio una eventuale integrazione della documentazione privacy all’interno della struttura del Sistema Qualità, che oltretutto consente di tenere sotto controllo le revisioni dei documenti, permettendo così di verificare l’eventuale necessità di aggiornamento/modifica degli stessi.

I processi derivanti da normative, siano esse cogenti (ad es. il Regolamento Europeo Privacy) o volontarie (ad es. la ISO 9001), devono:

  • essere tenuti sotto controllo;
  • rispettare i requisiti delle normative;
  • integrarsi nel sistema organizzativo aziendale.

Il Sistema di Gestione Qualità è uno standard che definisce i requisiti minimi che un’organizzazione deve avere per:

  • dimostrare la propria capacità di fornire con regolarità
  • prodotti e/o servizi che soddisfino i requisiti del cliente;
  • accrescere la soddisfazione del cliente.

Il Regolamento Europeo Privacy è una norma cogente che definisce i requisiti minimi che un’organizzazione deve avere per:

  • dimostrare la protezione delle persone fisiche con riguardo al trattamento dei dati personali.

Oltre quanto appena detto, sono molti i punti di contatto “operativi” e “di contenuti” tra la norma UNI EN ISO 9001 ed il GDPR.

Vediamo alcuni esempi:

“L’organizzazione deve mettere a disposizione le persone necessarie per l’attuazione del SGQ (par. 7.1.2 della norma ISO 9001)”, quindi, se rientra nei casi previsti dal Regolamento Europeo Privacy, anche un DPO (Data Protection Officer).

“L’organizzazione deve mettere a disposizione l’infrastruttura necessaria per l’attuazione del SGQ (par. 7.1.3 della norma ISO 9001)”, quindi, anche sistemi hw e sw, antivirus, back up, piano di disaster recovery (ovvero strumenti che garantiscano anche la protezione dei dati personali gestiti in formato elettronico).

“L’organizzazione deve assicurare che le persone siano competenti ed eventualmente deve formarle (par. 7.2 della norma ISO 9001)”. Il che significa che, se occorre, dovrà formare un DPO. Ma non solo. La formazione ha un ruolo fondamentale in generale per le risorse umane, capitale umano che deve essere valorizzato, e all’interno dello stesso GDPR è prevista formazione obbligatoria.

“L’organizzazione deve assicurare che le persone siano consapevoli ….  del proprio contributo all’efficacia del SGQ, compresi i benefici derivanti dal miglioramento delle prestazioni (par. 7.3 della norma ISO 9001)”. Il che significa che all’atto di una nuova assunzione, o di un cambio di mansione, si dovrà preparare la lettera di nomina incaricato al trattamento dei dati personali per rendere consapevole la persona stessa dell’importanza della corretta gestione del trattamento dei dati personali.

“L’organizzazione deve assicurare che i processi, prodotti e servizi forniti dall’esterno non influenzino negativamente la capacità dell’organizzazione di rilasciare con regolarità ai propri clienti, prodotti e servizi conformi (par. 8.4.2 della ISO 9001)”: in base alla tipologia di servizio reso da un fornitore, potrebbe esserci la necessità di nominarlo responsabile esterno del trattamento dati oppure amministratore di sistema.

“L’organizzazione deve aver cura della proprietà dei clienti (par. 8.5.3 della ISO 9001)”: per proprietà dei clienti si intendono anche i dati personali.

L’organizzazione deve quindi dichiarare come utilizza i dati personali, come li conserva e li protegge, come li recupera se sono conservati su supporti informatici.

Quanto esposto sopra ci fa capire che integrare all’interno di un SGQ già esistente anche la parte documentale relativa alla gestione dei dati personali possa essere un vantaggio non da poco, perchè, oltre ai punti di contatto indicati, un SGQ prevede anche una gestione documentale controllata, all’interno della quale far confluire anche quella della documentazione privacy.

Antonia Lotti: fondatrice di AL2 di Antonia Lotti sas, azienda che offre servizi professionali ad altre aziende. Si occupa infatti di erogare servizi trasversali e di consulenza organizzativa di alto livello, al fine di portare nelle aziende efficienza ed efficacia.

www.aldue.it