GDPR: un Approccio Sistemico tecnico, organizzativo e legale

Il GDPR, (General Data Protection Regulation- Regolamento UE 2016/679) è un Regolamento con il quale si rafforza e si rende più omogenea la protezione dei dati personali di cittadini dell’Unione Europea e dei residenti nell’Unione Europea, sia all’interno che all’esterno dei confini dell’Unione europea. Il testo, pubblicato su Gazzetta Ufficiale Europea il 4 maggio 2016 ed entrato in vigore il 25 maggio dello stesso anno, avrà efficacia il 25 maggio 2018.

privacy

La regolamentazione europea per la protezione dei dati personali (GDPR) è una legge molto importante che coincilia due interessi in apparente contrasto: garantire la libera circolazione dei dati nella Unione Europea da un lato e difendere la libertà degli individui dall’altro.

La regolamentazione introduce significative novità rispetto alle regolamentazioni dei singoli Paesi, inclusa quella italiana in materia di trattamento dei dati personali.

privacy

Il GDPR ha implicazioni legali, tecniche e organizzative che le Aziende e le Amministrazioni Pubbliche devono soddisfare:

  • Dimostrare che l’Azienda sia “accountable” sulla legislazione: l’organizzazione deve mettere in atto misure organizzative specifiche per la legislazione quali ad esempio la nomina di un Responsabile dei Trattamenti (DPO, Data Protection Officer) e la definizione del suo rapporto con le altre funzioni aziendali. L’organizzazione a supporto del GDPR dovrà essere in grado di valutare la rischiosità dei trattamenti analizzandone le dimensioni tecniche, legali e organizzative.
  • Privacy by design e by default: vi è l’obbligo di progettare nuovi beni e servizi tenendo sempre a mente le prerogative quali la anomizzazione nel trattamento dei dati. Questo implica stabilire ed attuare requisiti tecnologici per far si che I sistemi che trattano I dati personali siano idonei a garantire la riservatezza, disponibilità e integrità dei dati trattati. Tali sistemi vengono individiduati mediante un’analisi organizzativa dei processi aziendali.
  • Consentire la giurisdizione estesa: la regolamenzaione si applica a qualsiasi organizzazione che raccolga e/o elabori dati personali di cittadini europei indipendententeda dove si trovino gli uffici fisici della compagnia.  Questo significa che è necessario rappresentare tecnicamente  i flussi dei dati all’interno dell’organizzazione, stabilire accountability organizzative e prevedere dal punto di vista legale e del rapporto con l’autorità vigilante il paese che sarà rappresentate di tutti gli altri coinvolti.
  • Gestione del consenso; le organizzazioni dovranno ottenere il consenso individuale di ciascun  interessato per il trattamento dei propri dati personali  fornendo indicazioni precise sulle finalità. Questo significa che dovranno essere predisposte informative aggiornate dal punto di vista legale rispetto a quelle in essere attualmente e che dovrà essere definita una modalità tecnica per la gestione dei consensi al fine di dimostrare in fase ispettiva di aver ottenuto il consenso per i trattamenti.
  • privacy
  • Obbligo di notifica in caso di violazione dei dati personali: le organizzazioni dovranno avvisare l’interessato entro 72 ore della scoperta di un incidente di sicurezza. Perchè quest’obbligo sia rispettato, è necessario che l’organizzazione abbia idonee misure tecniche per prevenire gli incidenti e, qualora accadano, essere in grado di segnalarli per la gestione legale dell’evento.
  • Diritto di portabilità dei dati personali: a ciascun interessato che ne faccia richiesta le Aziende dovranno essere in grado di fornire copia elettronica dei dati personali posseduti dall’organizzazione. Perchè questo importante requisito possa essere soddisfatto, è evidente che l’organizzazione dovrà avere un’idoneo sistema tecnico in grado di individuare tali informazioni all’interno del Sistema informativo aziendale allineato ai processi che le elaborano ai fini del trattamento.
  • Diritto all’oblio: I cittadini europei devono essere in grado di richiedere non solo la cancellazione dei propri dati personali da un’organizzazione ma anche il blocco della condivisione degli stessi dati con terzi che a loro volta sono obbligati a cessare la loro elaborazione. Questo requisito ha evidenti implicazioni sia dal punto di vista legale riguardo I contratti tra delle Aziende con I propri fornitori nel caso siano ad esempio coinvolti nel trattamento di dati personali di propri clienti/dipendenti/pazienti che tecnici per assicurarsi ad esempio che I dati personali siano cancellati realmente da tutti I sistemi compresi quelli di backup.
  • privacy

La nuova legge rappresenta uno strumento significativo per difendere la libertà degli individui in un mondo globalizzato dove la libertà dei singoli sembra avere una dimensione meramente utopica. Non esistono altri modi efficaci per ottenere la compliance GDPR se non tramite un approccio sistemico.

Alessandro Di Fazio

 

Please follow and like us:

Sistema Salute: l’integrità dei dati, la salute pubblica e l’approccio sistemico

“Senza dati, tu sei solo un’altra persona con un’opinione,” diceva William Edwards Deming, ingegnere, saggista, docente e consulente di gestione aziendale e manager statunitense. A Deming fu ampiamente riconosciuto il merito per gli studi sul miglioramento della produzione negli Stati Uniti d’America durante la Seconda Guerra Mondiale, anche se egli è, forse, più noto per il suo lavoro in Giappone (Ciclo di Deming).

data

Il mondo della produzione manifatturiera è caratterizzato dalla necessità di garantire la stabilità dei processi produttivi in modo da assicurare la qualità attesa dei prodotti. Questo concetto è valido per tutti i domini produttivi quali i sistemi meccanici, elettronici, alimentari e chimici. Il cliente e consumatore del prodotto si aspetta che quest’ultimo sia sempre conforme a quelle che sono le sue caratteristiche specificate: un’automobile deve avere le prestazioni dichiarate dal costruttore; un cibo deve possedere le caratteristiche organolettiche specifiche, nutrire e non essere nocivo; uno smartphone deve avere tutte le funzionalità previste nella guida dell’utilizzatore e non si deve rompere e così via.

Garantire che tutti i prodotti conservino nel tempo tutte le caratteristiche previste è un compito molto complesso, ma essenziale, soprattutto pensando a quei prodotti che hanno un rapporto diretto con la nostra salute.

Quando, ad esempio, assumiamo un farmaco, siamo, in generale, attenti a verificare la data di scadenza e a leggere l’appropriatezza del medicinale per la cura della nostra patologia e anche alle sue possibili reazioni avverse, consultando il foglietto illustrativo. Diamo per scontato che il farmaco sia ben prodotto, ovvero che, ad esempio, contenga tutte e solo le sostanze necessarie e che non sia contaminato.

La garanzia del processo produttivo dei farmaci (Good Manifacturing Practice, GMP) è un compito essenziale per la tutela della salute pubblica: un medicinale non adeguatamente prodotto può risultare molto dannoso e, in alcuni casi, letale.

I controlli qualitativi sulla produzione sono, quindi, essenziali e affidati a un’organizzazione complessa che è presente sia nelle aziende farmaceutiche, sia nelle istituzioni pubbliche (Agenzie Regolatorie del Farmaco), che hanno il compito di sorvegliare e assicurare il rispetto delle regole. La sorveglianza è basata su un complesso sistema di misurazioni dei dati come la purezza delle sostanze, i dosaggi, le temperature, le pressioni, tutti legati alla produzione. Questo sistema garantisce la scoperta di eventuali anomalie e le conseguenti azioni preventive e correttive, inclusi, naturalmente, il blocco di lotti di produzione prima dell’invio alle farmacie o il ritiro di confezioni dagli scaffali.

Tutta la sorveglianza si basa sull’acquisizione di dati di produzione e sulla loro valutazione. Tornando quindi a quanto sosteneva Deming, le decisioni sono basate su dati e non su opinioni. Tutto sembra quindi logico e sotto controllo.

deming
William Edwards Deming, 1900-1993

Ma cosa accade se i dati non sono veritieri? Semplice, tutto il sistema di sorveglianza viene messo fuori uso, con evidenti rischi gravissimi per la salute pubblica. Purtroppo questo rischio può accadere ed è per questo motivo che negli ultimi anni sia le Agenzie Regolatorie. sia le stesse Aziende Farmaceutiche stanno attuando processi analitici e politiche ispettive per garantire che i dati associati ai controlli di produzione siano affidabili (Integrità dei dati – Data Integrity).

Le minacce alla integrità dei dati e, quindi, alla salute pubblica hanno cause molteplici, concomitanti e anche, talvolta, inaspettate: etiche, culturali, organizzative, economiche, scientifiche e tecnologiche.

La minaccia va, quindi, affrontata con un approccio generale che sia in grado di indirizzare in modo consistente tutte le cause mediante un intervento coordinato e sistemico.

Alessandro Di Fazio

 

 

Please follow and like us:

Sistema Generale: Metodo e Progetto

Tutto ciò che si può ben dire si può fare, anche se non è sempre giusto fare qualcosa solo perché si può dire.

 

L’espressione corretta di un’idea è condizione necessaria alla definizione di un progetto, sia esso di miglioramento o di crescita. A tutto ciò deve accompagnarsi una riflessione profonda e sincera sugli obiettivi che si vogliono raggiungere e su cosa ci spinge a perseguirli.

Questo tramuta l’analisi delle circostanze in azioni e le azioni in situazioni di lavoro e di benessere nelle aziende, nei gruppi e nelle comunità sociali.

Siamo convinti, infatti, che un approccio sistemico nella ricerca di nuovi scenari manageriali, organizzativi e operativi conduca le persone e le realtà lavorative verso esiti sempre più consistenti e sostenibili, a reciproca soddisfazione e a risultati di successo.

Il nostro modello è una proposta che opera in tal senso.

Un modo pragmatico per rappresentare la volontà di raggiungere un risultato desiderabile e sostenibile è quello del progetto per il quale, per prima cosa, ci si interroga e si studiano i significati, passando da un’idea di massima a una definizione concreta e raggiungibile.

Poiché tra il dire ed il fare non vi è altro che… il fare, il progetto è l’ottenimento del risultato attraverso l’impegno. Il risultato, una volta ottenuto, influenza ed è influenzato dalla realtà iniziando un ciclo vitale che ci sforziamo di rendere virtuoso.

Layout1

Analizzando il progetto, partiamo dall’ascolto della situazione, sviluppiamo idee, studiamo proposte, strutturiamo progetti e supportiamo prodotti.

Condividiamo il nostro pensiero con persone e aziende che fanno del loro lavoro uno strumento di soddisfazione e sviluppo professionale e personale.

Proponiamo la condivisione di esperienze, ipotesi di lavoro, riflessioni e analisi di quanto incontriamo nei nostri contesti di riferimento.

Semplificare, velocizzare, sviluppare e realizzare sono i valori che condividiamo e proponiamo a sostegno delle relazioni tra uomini e luoghi di lavoro:

  • Semplificare per facilitare i processi di cambiamento e supportare apprendimenti innovativi e evolutivi,
  • Velocizzare quando il tempo diventa l’elemento chiave per la sicurezza, il successo e la sostenibilità futura,
  • Sviluppare modelli e situazioni dove il confronto, la diversità e lo scambio di idee siano garanzia di progresso e consapevolezza, di fronte a situazioni di scelta, decisione e responsabilità,
  • Realizzare “prodotti” della giusta dimensione per sentirsene parte e porre le basi dello sviluppo futuro nella costruzione di un nuovo modo di osservare, capire e gestire le situazioni e sé stessi.

Proponiamo un approccio sistemico ai processi di cambiamento aziendale e di sviluppo delle competenze necessarie alla corretta gestione delle situazioni sia dei singoli individui sia dei gruppi:

  • Accompagniamo le persone nella ricerca di un modo nuovo di pensare ed operare, vivendo i luoghi di lavoro come momenti di incontro e di crescita individuale e di gruppo, alla ricerca di nuove conoscenze e capacità, per vedere con occhi diversi ciò che si fa, si pensa e si può sviluppare.
  • Crediamo in una realtà dove gli elementi sono legati e correlati tra loro verso un percorso di crescita e di miglioramento continuo.
  • Siamo un gruppo di professionisti dedicati allo sviluppo delle persone e delle realtà nelle quali operano.

Questo procedimento richiede di possedere, oltre alla passione, una capacità realizzativa e quindi ingegneristica. Ma questa deve essere accompagnata da una riflessione ed una valutazione attenta sui significati e sui cambiamenti anche sistemici che un’iniziativa di business o, più in generale, sociale induce nella realtà. Ingegneria e gestione del cambiamento sono quindi i due focus del nostro modo di contribuire al benessere dei nostri clienti. In altre parole, un approccio generale per migliorare il sistema.

Gli ambiti di intervento sono due:

Change Management:

  • Vision, Mission e valori aziendali
  • Contestualizzazione strategica e modello di leadership
  • Gestione del personale, formazione e sviluppo
  • Coaching
  • Processi di comunicazione
  • Clima aziendale e coinvolgimento

Business processes engineering:

  • Lettura sistema organizzativo
  • Valutazione dei processi agiti
  • Allineamento strategico
  • Sistema di Governance con indicatori bilanciati di performance
  • Attuazione dei processi
  • Gestione del feedback

Alessandro Di Fazio

Maria Tringali

Please follow and like us: