Posts

DATA PROTECTION MANAGEMENT SYSTEM: IL MODELLO PDCA

/in /by

In questo terzo e ultimo articolo dedicato al Data Protection Management System (DPMS), illustriamo brevemente i passi principali necessari a implementare il DPMS utilizzando come riferimento le quattro fase del ciclo di Deming (PDCA).

PLAN 

Nella fase di pianificazione si fissano gli obiettivi, si individuano le risorse e si definiscono gli strumenti e i processi indispensabili per garantire il raggiungimento del risultato atteso.

In sostanza, in questa fase si “scrivono le specifiche” del sistema che saranno realizzate nella fase di DO.

  • Analisi del contesto: è l’analisi dell’ambiente (interno ed esterno) in cui opera l’organizzazione, compresi processi, procedure e sistemi di gestione già presenti. È parte fondamentale dell’analisi del contesto la comprensione delle necessità e delle aspettative degli stakeholder.
  • Leadership e impegno: è il punto di partenza per ogni attività relativa al DPMS. La direzione deve identificare gli obiettivi del DPMS in coerenza con la politica dell’organizzazione e impegnarsi per il suo sviluppo attraverso l’attribuzione di risorse, ruoli e responsabilità e la nomina del project manager da dedicare al progetto.
  • Policy e campo di applicazione del DPMS: è lo step in cui si definiscono i confini e il campo di applicazione del DPMS e la Policy della protezione dei dati personali.
  • Risk management: è l’insieme di attività, metodologie e risorse necessarie per individuare e gestire i rischi aziendali legati al trattamento dei dati personali.

DO

Nella fase di attuazione si implementano le specifiche del sistema secondo quanto definito e pianificato nella fase precedente.

  • Organigramma e documentazione: è lo step di redazione dei contenuti della documentazione relativa al DPMS, un elemento fondamentale per comprovare l’aderenza al Regolamento.
  • Comunicazione e formazione: sono strumenti indispensabili per diffondere nell’organizzazione i principi ed i metodi del DPMS, per renderlo operativo e garantirne il successo.
  • I controlli: è lo step in cui sono implementati i processi di misurazione che servono a tenere sotto controllo il DPMS e i rischi inerenti la protezione dei dati personali. Essi sono scelti in funzione dei risultati prodotti dall’attività di risk management.
  • La gestione degli incidenti: in questo step sono implementati i processi e le procedure operative per gestire gli incidenti che potrebbero causare una violazione dei dati personali.
  • L’attivazione del DPMS: nel caso di implementazione ex-novo del DPMS, questo è il momento della sua introduzione operativa, in cui si mette in pratica quanto pianificato e implementato; se l’organizzazione ha già un DPMS attivo, successivamente alla verifica delle rilevazioni di funzionamento contestualizzate, si introducono le migliorie e le ottimizzazioni pianificate.

CHECK

Nella fase di controllo del DPMS si misura lo “stato di salute” del sistema per mezzo di appositi indicatori progettati nella fase di PLAN.

  • Monitoraggio e Audit interno: questa fase del ciclo di Deming ha l’obiettivo di verificare l’efficacia e la conformità del DPMS implementato e di programmare le azioni necessarie per migliorarlo.
  • Riesame di Direzione: i risultati del monitoraggio e dell’audit e le possibilità di miglioramento sono oggetto del riesame di direzione. In questo step il vertice dell’organizzazione ribadisce la propria volontà di mantenere e migliorare il DPMS

ACT

Nella fase di manutenzione e miglioramento, si perfeziona il DPMS, apportando i miglioramenti necessari per ottenere risultati di misurazione più soddisfacenti.

  • Non conformità e miglioramento continuo: la quarta ed ultima fase del ciclo di Deming affronta le tematiche del miglioramento del DPMS e individua le azioni correttive che permettono di risolvere eventuali non conformità emerse nel corso dell’audit interno.

Conoscere e implementare la Privacy” può essere ordinato in formato cartaceo al link http://www.youcanprint.it/fiction/business-ed-economia-generale/conoscere-e-implementare-la-privacy-9788892665354.html.

In formato e-pub è disponibile al link www.amazon.it/dp/B071X2V3HR

La prima parte del libro in formato pdf può essere invece richiesta direttamente a: www.privacyinchiaro.it/conoscere-implementare-la-privacy/

DATA PROTECTION MANAGEMENT SYSTEM: APPROCCIO METODOLOGICO

/in /by

In questo secondo articolo dedicato al Data Protection Management System (DPMS) ci soffermiamo sugli obiettivi che si intendono raggiungere con l’implementazione del DPMS.

È, infatti, necessario definire con chiarezza:

  • il campo di applicazione del DPMS (per esempio una porzione dei trattamenti o tutti i trattamenti effettuati dall’organizzazione);
  • le tempistiche entro le quali si vogliono ottenere i risultati;
  • il livello di maturità del sistema che si desidera raggiungere;
  • i controlli di sicurezza ad esso associati.

Ipotizziamo che a dover affrontare l’implementazione di un DPMS sia un’organizzazione di dimensioni e complessità medie. Se si utilizzasse una metodologia di lavoro di tipo tradizionale, ovvero sequenziale, non è irragionevole ipotizzare che l’implementazione, a partire dal suo concepimento e fino al completamento del primo ciclo PDCA, richiederebbe un arco temporale di alcuni mesi.

In genere, i principali ostacoli percepiti in merito a questo approccio sono relativi alla quantità di tempo e di risorse che devono essere coinvolte per la pianificazione, l’analisi, l’approvazione e la realizzazione del sistema, sottraendole alla normale attività di business.

Questi ostacoli possono essere superati se decide di procedere per passi successivi e per raggiungere obiettivi più vicini nel tempo, scegliendo, tra quelli che seguono, l’approccio che meglio sposa le proprie esigenze e le proprie priorità.

  • Approccio orientato al business: l’implementazione del sistema riguarda solo una funzione o aree limitate dell’organizzazione, in relazione a specifiche necessità di business (esempio: call center).
  • Approccio orientato all’integrazione: l’organizzazione ha già un sistema di gestione operativo (per esempio quello relativo alla sicurezza delle informazioni) nel quale decide di integrare il DPMS
  • Approccio iterativo: si procede all’implementazione del sistema (definendo un campo di applicazione inziale) – con attori identificati e coinvolti e processi ben definiti – e si lavora al suo miglioramento nel tempo.

Qualunque sia la strada che l’organizzazione decide di seguire, è opportuno tener conto delle seguenti indicazioni,

  1. Avere la leadership della direzione aziendale: il pieno supporto e il coinvolgimento della direzione è un pre-requisito per la realizzazione del DPMS.
  2. Nominare un Project Manager: è opportuno individuare e nominare un responsabile per il progetto d’implementazione del sistema di gestione e non è necessario che l’incarico sia assegnato al Privacy manager o al DPO.
  3. Coinvolgere gli stakeholder: è fondamentale definire i ruoli e le responsabilità di tutte le parti interessate e adoperarsi per coinvolgerle e motivarle fin dalle fasi iniziali del progetto.
  4. Integrare il DPMS nei sistemi esistenti: è opportuno progettare il sistema tenendo conto dei sistemi di gestione già implementati dall’organizzazione.
  5. Costruire il DPMS sui processi esistenti: è buona norma riutilizzare tutto ciò che è già patrimonio dell’organizzazione (ciò che esiste ed è formalizzato) ed è conforme, evitando di inserire nuovi processi che necessiterebbero di un periodo di adattamento o che, semplicemente, non rispecchiano la realtà in cui devono essere inseriti.
  6. Limitare l’integrazione di nuove tecnologie: è opportuno progettare il sistema di gestione sulla base della tecnologia già in uso.
  7. Applicare il principio del miglioramento continuo: il principio del miglioramento continuo può essere applicato con utilità fin nelle fasi iniziali, per esempio tenendo conto dei suggerimenti e delle indicazioni ricevute dalle parti interessate e coinvolte nel progetto.

L’ultimo consiglio che vogliamo dare è quello di usare il buon senso: non è affatto necessario progettare sistemi complessi per gestire questioni complesse.

 

Conoscere e implementare la Privacy” può essere ordinato in formato cartaceo al link http://www.youcanprint.it/fiction/business-ed-economia-generale/conoscere-e-implementare-la-privacy-9788892665354.html.

In formato e-pub è disponibile al link www.amazon.it/dp/B071X2V3HR

La prima parte del libro in formato pdf può essere invece richiesta direttamente a: www.privacyinchiaro.it/conoscere-implementare-la-privacy/

IL DATA PROTECTION MANAGEMENT SYSTEM

/in /by

Questo è il primo di tre articoli dedicati al Data Protection Management System (DPMS) descritto nel libro “Conoscere e implementare la privacy”, pensato per consulenti, imprese, enti e responsabili della protezione dei dati che, entro il mese di maggio 2018, dovranno adeguare i trattamenti dei dati personali alle prescrizioni del Regolamento europeo UE 2016/679.

Il DPMS proposto è basato sulle indicazioni della norma ISO 29100 ed è modellato tenendo sempre presenti gli obblighi imposti dal Regolamento ai Titolari o ai Responsabili.

La norma ISO 29100 non fa riferimento esplicito alla necessità di implementare un sistema di gestione; tuttavia, al fine di adottare un modello (“framework”) per la protezione dei dati personali efficace e in grado di migliorare nel tempo, abbiamo scelto di affrontare questo tema con l’approccio usualmente utilizzato per implementare un sistema di gestione aziendale.

La trattazione si basa sul processo “Plan-Do-Check-Act” (PDCA) (ciclo di Deming), impiegato per strutturare e definire di tutti i processi necessari a un sistema di gestione.

Se l’Input del processo sono le esigenze e le aspettative delle parti interessate (stakeholder) – quali ad esempio clienti, dipendenti, fornitori, azionisti – dopo l’implementazione delle azioni e dei processi necessari a soddisfarle (Attività), avremo come Output il controllo della sicurezza delle informazioni personali che soddisferà appieno le esigenze e le aspettative degli stakeholder.

Le quattro fasi dell’approccio PDCA sono:

Plan (definizione del sistema di gestione): partendo dall’analisi del contesto, si definiscono le politiche, gli obiettivi del sistema e si procede all’analisi dei rischi correlati al trattamento dei dati personali al fine di individuare il perimetro di implementazione del DPMS.

Do (implementazione del sistema di gestione): è la fase in cui si si rappresentano i processi, si stabiliscono i ruoli e le responsabilità, si descrivono le procedure e si definiscono i controlli e le evidenze oggettive (documenti e registrazioni).

Check (monitoraggio e revisione del sistema di gestione): è la fase in cui si valutano e si misurano, attraverso il monitoraggio e gli audit, i processi inerenti la protezione dei dati personali, gli obiettivi e le esperienze pratiche. I risultati sono raccolti e riportati al management per il riesame periodico della direzione.

Act (manutenzione e miglioramento del sistema di gestione): con lo scopo di migliorare continuamente il sistema di gestione, si intraprendono azioni correttive sulla base dei risultati della revisione interna e del riesame della direzione o con l’ausilio di altre informazioni rilevanti.

L’implementazione di un DPMS può produrre benefici all’organizzazione non solo in termini di conformità alle norme e di governance ma anche dal punto di vista del business.

Elenchiamo alcuni di questi benefici.

Conformità: prerequisito indispensabile di un sistema di gestione della protezione dei dati personali è la conformità alle leggi e alle normative nazionali ed europee.

Governance: la definizione di politiche, di processi e di momenti di controllo supporta la creazione di una cultura condivisa e favorisce la sensibilizzazione del personale e la responsabilizzazione del management in materia di protezione dei dati personali.

Business: l’esistenza di un sistema di gestione consolida la fiducia di clienti, fornitori e partner e aumenta il loro grado di soddisfazione nei confronti dell’organizzazione.

Conoscere e implementare la Privacy” può essere ordinato in formato cartaceo al link http://www.youcanprint.it/fiction/business-ed-economia-generale/conoscere-e-implementare-la-privacy-9788892665354.html.

In formato e-pub è disponibile al link www.amazon.it/dp/B071X2V3HR

La prima parte del libro in formato pdf può essere invece richiesta direttamente a: www.privacyinchiaro.it/conoscere-implementare-la-privacy/