Protezione dei dati personali con Qualibus (GDPR – Privacy)

In Qualibus possono essere archiviate e trattate informazioni personali e sensibili riferite ai singoli lavoratori, a clienti, ospiti o pazienti nel caso di un utilizzo in ambito sanitario ed assistenziale, ad altri soggetti.

Qualibus supporta efficacemente un metodo organizzativo che deve corrispondere all’adozione delle misure fisiche e logiche per la registrazione, la protezione e la sicurezza di dati. La particolare struttura del software permette di configurare processi, gestiti con Qualibus, che riprendono il concetto di Privacy by design perché ogni attività degli utenti lì gestita è sempre organizzabile e configurabile attraverso la modulazione degli accessi e dei permessi di visibilità.

Processi gestiti al di fuori di Qualibus, trattamenti che si svolgono su altri supporti informatici o che comportano attività che non necessariamente sono registrate in Qualibus, sono comunque da questo guidati, notificati e monitorati attraverso la gestione del Registro e delle Procedure / Istruzioni in materia di Privacy, dallo Scadenzario di sistema, dalla gestione degli Audit e delle NC che coinvolgono tutto il personale e le aree dell’organizzazione ancorché non operanti su Qualibus, dalla Valutazione degli Impatti che, a seconda delle diverse specificità, vanno a costituire una gestione organica del Sistema.

GESTIONE DEL SISTEMA CON QUALIBUS

L’utilizzo di Qualibus introduce un livello di sicurezza elevato nell’accesso e gestione ai dati e documenti in quanto agli utenti Qualibus sono assegnati specifici privilegi e ruoli per accedere a processi, documenti e dati. Ulteriore garanzia per la sicurezza dei dati è costituita dal fatto che i file sono memorizzati direttamente nel database.

Configurazione credenziali di accesso e privilegi

L’accesso a Qualibus è impostato su un sistema di controllo di ID e password che permette di definire i criteri di revisione periodica delle password e le regole di complessità per aumentare la sicurezza degli accessi.
L’accesso ai singoli Moduli viene gestito attraverso l’assegnazione di una serie di privilegi e dall’attivazione di particolari funzionalità che consentono un utilizzo fortemente scalabile del software da parte degli utenti e fanno in modo che si possano ricoprire ruoli e svolgere attività all’interno dei processi aziendali ben supportati da precise autorità e privilegi di esecuzione.
Assegnato il Login, per ciascun utente vengono assegnati i privilegi di esecuzione, inserimento, modifica, elimina, ecc. sui vari moduli del software in modo tale che non sia possibile accedere ai dati personali e sensibili contenuti in processi, a personale le cui mansioni non richiedono il loro trattamento.

Assegnazione dei ruoli sui processi aziendali

Il livello / grado di accesso ad un determinato processo è garantito attraverso la configurazione dei Ruoli nei seguenti moduli di Qualibus:

  1. Eventi
  2. Documenti
  3. Anagrafiche Clienti / Fornitori, Personale, Infrastrutture, Strumenti, Scadenzari, Rischi
  4. Sezioni dei Dati Personalizzati (di tutti i moduli)

GESTIONE DEL PROCESSO

Ricognizione trattamenti

Inizialmente è necessario effettuare una ricognizione, la più completa possibile, di tutti i trattamenti effettuati dall’Organizzazione, avendo cura di coinvolgere tutte le funzioni responsabili.
Per raccogliere in modo adeguato i dati necessari, che descrivono il trattamento, possono essere utilizzate tecniche diverse (ad esempio un audit).

Registro Trattamenti (art.30)

Il censimento dei trattamenti di dati personali effettuati in azienda e dei rischi ad essi collegati è gestito con una serie di anagrafiche “Trattamento GDPR” dove vengono imputate le caratteristiche di ciascun trattamento ed effettuata anche la valutazione del Rischio associato a ciascun di essi.

L’insieme delle anagrafiche “Trattamento GDPR” rappresenta il “Registro dei trattamenti”.

Valutazione d’impatto – DPIA (art. 35)

Se il tipo di organizzazione e le caratteristiche dei trattamenti corrispondono a quelle citati nell’Art. 35 del GDPR è obbligatorio procedere con una Valutazione degli Impatti creati da determinati trattamenti critici.
La valutazione degli impatti sui diritti e le libertà delle persone può ovviamente essere fatta anche a seguito di situazioni di alto rischio evidenziatisi dall’analisi di particolari trattamenti effettuati dall’organizzazione.

Successivamente si effettua la valutazione d’Impatto nella sezione riferimenti “Fattori GDPR” compilando i relativi campi.

Qualora la rilevanza residua del rischio per ciascun fattore analizzato risulti elevata si avviano le azioni opportune (di miglioramento, formazione o altri eventi) cliccando sull’icona + del menu avvio rapido (tali azioni saranno collegate all’evento nella sezione “Collegamenti”)

Nomina Responsabili e Autorizzati al trattamento (Art. 28)

Le lettere di nomina vengono composte automaticamente.

Qualsiasi comunicazione fatta al personale è generata ed archiviate dall’Anagrafica Personale.

Nota: : I documenti sottoscritti dagli interessati possono essere mantenuti nella anagrafica personale. Le altre nomine necessarie a seguito di nuove assunzioni o cambio mansione devono essere predisposte a seguito dell’avvio dei rispettivi eventi classe Gestione Personale: “Inserimento Lavorativo” o “Cambio mansione”

Nella sezione Documenti / Comunicazioni dell’anagrafica Personale sono conservate tutte le comunicazioni in entrata ed in uscita che intercorrono con il personale non solo in materia di Privacy.
Tali comunicazioni rimangono riservate ai soli utenti in possesso dei ruoli generali di esecuzione sul modulo dell’Anagrafica Personale.

Altre misure organizzative

Gestione della documentazione

Tutti i documenti (di prescrizione come procedure in materia di protezione e sicurezza dei dati, registrazioni di sistema, di origine esterna, ecc.) sono archiviati e gestiti in cartelle nel modulo Documenti.
Attraverso le funzionalità attivabili sulle directory dall’amministratore con privilegio Pers1 in Documenti (controllo degli accessi, assegnazione dei ruoli di modifica, verifica e approvazione ecc.), è possibile accedere ai file inseriti in ciascuna cartella ed in funzione del ruolo assegnato visualizzare i documenti, effettuare le revisioni periodiche raccomandate dalla normativa, distribuirli, ecc.

Il sistema di gestione delle revisioni dei Documenti, oltre che dimostrare l’effettiva revisione periodica di tali documenti, permette di operare facilmente alla costante attualizzazione e garantisce la non regressione del sistema organizzativo documentato.

Formazione del Personale (Art. 29)

Qualibus favorisce il coinvolgimento delle Risorse Umane grazie alla efficace gestione dei processi relativi ed in particolare nella formazione erogata agli utenti in materia di trattamento dei dati tramite gli eventi Qualibus. L’utilizzo di tale processo permette di predisporre il Piano della Formazione, di notificarla ai partecipanti, di registrare ed archiviare i dati e di monitorane infine l’attuazione tenendo conto della periodicità con la quale essa deve essere erogata al personale in rapporto alle esigenze formative richieste dai trattamenti che sono chiamati a fare e delle responsabilità che derivano dagli incarichi assegnati in materia di trattamento.

Non solo. Oltre a fornire output di stampa sui curriculum formativi per ciascun dipendente, attraverso i calcoli del modulo “GAP Formativo”, è possibile individuare immediatamente ritardi o lacune nella formazione erogata rispetto ai programmi stabiliti per il personale che tratta dati identificativi e sensibili ed avviate automaticamente le formazioni necessarie.

Piano delle verifiche – audit (Art. 32)

Il controllo del Sistema di gestione per la Sicurezza dei dati viene monitorato attraverso l’avvio di specifici Piani di Audit che sono Eventi preconfigurati contenenti gli elementi critici sui quali è opportuno effettuare i controlli periodici.

Le NC rilevate in sede di audit che possono essere registrate nelle note/osservazioni della check list inserita in ogni disposizione determinano l’avvio automatico di altrettante Azioni di miglioramento finalizzate a rimuovere i problemi riscontrati.

Scadenzario Privacy

La gestione complessiva del “Sistema Privacy” richiede l’attuazione di una serie di misure fisiche, logiche ed organizzative che coinvolgono l’organizzazione nella normale attività di ogni giorno cui si uniscono una serie di scadenze periodiche significative che devono essere programmate al fine di un corretto trattamento dei dati (Controllo delle misure di sicurezza, backup dati, aggiornamento antivirus, programmazione Audit, revisione Registro dei Trattamenti, revisione DPS etc.).

Inventario e gestione delle risorse

La gestione delle apparecchiature hardware e software come l’insieme delle infrastrutture fisiche che concorrono a garantire la conservazione e la protezione degli archivi informatici e cartacei sono sottoposte a verifica periodica attraverso l’adozione di opportuni programmi di manutenzione ordinaria ed interventi straordinari. Il modulo Infrastrutture permette di gestire l’elenco delle infrastrutture quali archivi, apparecchiature hardware e software, reti Internet e intranet, sistemi antintrusione, per le quali è possibile approntare appositi interventi di manutenzione e controllo.

Lista di apparecchiature HW (esempio)

NC, trattamento, Sicurezza dei dati ed azioni di miglioramento

Le NC riscontrate, sulle modalità di gestione dei trattamenti o sui sistemi di protezione attiva e passiva messi in atto per garantire la sicurezza e la protezione dei dati, possono determinare l’avvio di Azioni di Miglioramento per eliminare le cause e fare in modo che non si ripetano o che i rischi siano attenuati / contenuti.
Le Azioni di Miglioramento, che rimangono sempre collegate agli eventi che le hanno originate quali Audit, Segnalazioni, NC di Sistema, da un lato dimostrano l’approccio attivo dell’organizzazione e dall’altro tracciano efficacemente le decisioni che sono state prese ed attuate per assicurare la miglior conformità al GDPR.

Visualizzazione e gestione impegni

Tutti gli impegni e le notifiche generate dai processi sono visualizzate dagli utenti sul Calendar e da qui possono essere gestite, ad esempio:

  • le disposizioni relative alla rivalutazione dei Trattamenti, alla Formazione, agli Audit ed alle Azioni di Miglioramento
  • gli interventi di manutenzione programmati e straordinari sulle Infrastrutture
  • gli impegni richiesti dallo scadenzario di Sistema

Grazie al modulo comunicazioni sono trasmessi i messaggi e gli alert automatici derivanti ad esempio da:

  • avvio dei processi per la gestione del Sistema
  • le notifiche di recapito delle nuove revisioni dei documenti.