Novità! La ISO/IEC 27701:2019
Lo standard ISO/IEC 27701: 2019 specifica i requisiti e fornisce una guida per stabilire, implementare, mantenere e migliorare continuamente un PIMS (Privacy Information Management System o sistema di gestione delle informazioni sulla privacy) attraverso un set di requisiti, obiettivi di controllo e controlli che integrano ed estendono quanto definito nello standard ISO/IEC 27001: 2013 per la gestione della sicurezza delle informazioni.
Le organizzazioni che hanno già implementato un ISMS (Information Security Management System) secondo la ISO/IEC 27001 saranno in grado di utilizzare la ISO/IEC 27701 per estendere la copertura dell’information security alla gestione della privacy, comprendendo anche i trattamenti di dati personali (PII – Personally Identifiable Information ), in modo da poter dimostrare la conformità con le legislazioni cogenti in materia di protezione dei dati personali come il GDPR (cfr. art. 42 – General Data Protection Regulation (EU) 2016/679).
Le organizzazioni che non sono dotate di un ISMS possono anche implementare ISO/IEC 27001 e ISO/IEC 27701 insieme in un singolo progetto, in quanto la ISO/IEC 27701 estende semplicemente i requisiti forniti dalla 27001 e dal suo “codice di condotta” (ISO/IEC 27002), e non è quindi necessario realizzare due sistemi di gestione e/o progetti di implementazione separati.
A chi interessa?
La ISO/IEC 27701 è stata
progettata per essere utilizzata da tutte le organizzazioni, siano esse
titolari del trattamento o responsabili del trattamento. Come per la ISO/IEC
27001, la norma è fondata su un approccio basato sul rischio in modo che
ciascuna organizzazione che voglia essere e mantenersi conforme affronti i
rischi specifici riguardanti il trattamento dei dati personali e la privacy a
cui è soggetta.
La norma è quindi applicabile per tutte le organizzazioni, qualsiasi sia la
loro dimensione e il loro settore di attività.
Sintesi dei contenuti
La norma fornisce requisiti e linee guida per costruire, implementare, mantenere e migliorare costantemente un PIMS, sia che l’organizzazione operi come titolare del Trattamento (Data Controller), sia come Responsabile (Data Processor).
I requisiti della norma sono suddivisi in quattro capitoli:
- Clause 5, PIMS requirements (related to ISO/IEC 27001)
- Clause 6, PIMS requirements (related to ISO/IEC 27002)
- Clause 7, PIMS guidance for PII Controllers
- Clause 8, PIMS guidance for PII Processors
La norma comprende inoltre i seguenti allegati:
- Annex A lists all applicable controls for PII Controllers
- Annex B lists all applicable controls for PII Processors
- Annex C maps ISO/IEC 27701 controls against ISO/IEC 29100
- Annex D maps ISO/IEC 27701 controls against ISO/IEC GDPR
- Annex E maps ISO/IEC 27701 controls against ISO/IEC 27018 and ISO/IEC 29151
- Annex F provides guidance for applying ISO/IEC 27701 to ISO/IEC 27001 and ISO/IEC 27002.
Dimostrare la compliance al GDPR
tramite la certificazione ISO/IEC 27701
Implementare un PIMS conforme alle ISO/IEC 27701 e ISO 27001 consentirà di soddisfare i requisiti del GDPR e di altre regolamentazioni internazionali e nazionali in materia di protezione dei dati e dimostrerà che sono stati predisposte “misure tecniche e organizzative appropriate” (articolo 32) per proteggere i dati personali che vengono trattati, proteggendo i diritti degli interessati, in linea con il principio di accountability descritto nel Regolamento (articolo 5).
L’articolo 42 del GDPR tratta dei meccanismi di certificazione della protezione dei dati. Anche se non è ancora stata definita e riconosciuta ufficialmente come meccanismo valido in tal senso dalle autorità competenti (EDPB e Garante), tuttavia è possibile ottenere la certificazione ISO 27001 – e per estensione ISO 27701 – accreditata in modo indipendente da un certification body riconosciuto, dimostrando così a tutti gli stakeholder che la vostra organizzazione segue le migliori pratiche internazionali in tema di protezione dei dati personali.
La nuova ISO 45001:2018
La ISO 45001, come tutte le ISO di ultima generazione, adotta la ISO High Level Structure (HLS). Alcuni dei cambiamenti della ISO 45001 rispetto alla OHSAS 18001 riflettono le peculiarità dell’HLS mentre altri sono specifici per la salute e la sicurezza sul lavoro.
Alla pubblicazione della ISO 45001 seguirà il ritiro della OHSAS 18001. ISO 45001 è uno standard internazionale, garantisce una maggiore compatibilità con altri standard, come ISO 9001 e ISO 14001. Rende più facile l’implementazione e l’integrazione in un sistema di gestione, con un valore aggiunto per gli utenti. Se la tua azienda ha già adottato la norma OHSAS 18001, riconoscerai la maggior parte dei requisiti previsti dalla ISO 45001. Tuttavia, ci sono alcune variazioni rispetto alla OHSAS 18001 che è necessario preparare per migrare e rendersi conformi alla ISO 45001.
Cambiamenti chiave nella ISO 45001
- Contesto aziendale: il Capitolo 4.1, Questioni esterne e interne, introduce nuove clausole per la determinazione sistematica e il monitoraggio del contesto aziendale.
- Lavoratori e altre parti interessate: il Capitolo 4.2 introduce una maggiore attenzione ai bisogni e alle aspettative per i lavoratori e per le altre parti interessate e il coinvolgimento dei lavoratori. Questo per identificare e comprendere sistematicamente i fattori che devono essere gestiti attraverso il sistema di gestione.
- Gestione dei rischi e delle opportunità: Capitoli 6.1.1, 6.1.2.3, 6.1.4,: alle aziende spetta la determinazione, la presa in carico e, ove necessario, l’obbligo di intervento per affrontare eventuali rischi o opportunità che possono avere un impatto (positivo o negativo) sulla capacità del sistema di gestione di fornire i risultati previsti, tra cui una maggiore sicurezza e salute sul luogo di lavoro.
- Leadership e impegno di gestione: indicato nel capitolo 5.1. La ISO 45001 pone una maggiore enfasi sul top management affinché si impegni attivamente e si assuma la responsabilità per l’efficacia del sistema di gestione.
- Obiettivi e prestazioni: maggiore attenzione agli obiettivi come fattori di miglioramento (capitoli 6.2.1.6.2.2) e valutazione delle prestazioni (capitolo 9.1.1).
Ulteriori requisiti relativi a:
- Partecipazione, consultazione e partecipazione dei lavoratori (5.4)
- Comunicazione (7.4): la ISO 45001 è più prescrittiva rispetto ad un “automatismo” della comunicazione, indicando la necessità di definire cosa, quando e come comunicare.
- Approvvigionamento, inclusi i processi in outsourcing e gli appaltatori (8.1.4)
La nuova ISO 14001:2015
Cambiamenti significativi
- la sequenza delle sezioni è cambiata (secondo il “High Structure Level”)
- introdotta nella sezione 4 la richiesta di determinare il contesto dell’organizzazione: l’organizzazione è tenuta a identificare eventuali aspetti/problemi interni ed esterni che possano avere impatto sulla capacità del loro EMS (Sistema di Gestione Ambientale) di ottenere i risultati attesi. Questi aspetti comprendono qualsiasi condizione ambientale che può avere o subire ripercussioni dall’organizzazione. E’ inoltre necessario determinare le richieste e le aspettative delle parti interessate rilevanti – cioè, quegli individui e organizzazioni che possono influenzare, essere influenzati da, o percepire di essere influenzati da decisioni o attività dell’organizzazione
- introdotto nella sezione 6 l‘approccio basato sul rischio: l’organizzazione deve evidenziare di aver determinato, considerato e, ove ritenuto necessario, intrapreso azioni per affrontare i rischi e le opportunità che possano avere impatto (positivamente o negativamente) sulla loro capacità di raggiungere i risultati previsti dal EMS
- È stato introdotto il concetto di “informazioni documentate„ che sostituisce quelli di ”documenti” e ”registrazioni”
- è stato evidenziato il miglioramento delle prestazioni ambientali, preferibilmente con indicatori di performance misurabili e verificabili
- Introdotto il concetto di „Life Cycle Thinking“: l’organizzazione deve a) assicurare che i prodotti siano progettato in maniera rispettosa dell’ambiente, b) determinare i requisiti ambientali dei prodotti e servizi da acquistare e comunicarli ai fornitori dell’organizzazione, e c) fornire informazioni rilevanti a Clienti ed utilizzatori. Non vi è alcuna necessità di effettuare comunque una valutazione formale e approfondita del ciclo di vita
- non è più richiesto un Rappresentante per la Direzione: il top management è tenuto a dimostrare che si impegna in prima persona in attività chiave del EMS, in precedenza doveva semplicemente garantire che queste attività fossero attuate. Questo significa vi è la necessità per il top management di essere coinvolto attivamente nella gestione del EMS e di rendere conto dei suoi risultati. La rimozione di riferimenti al ruolo di «Rappresentante della Direzione”rafforza l’esigenza di vedere l’EMS incorporato nell’analisi strategica e operativ
- il Focus sul rispetto di tutte le prescrizioni legali applicabili e degli impegni assunti dall‘organizzazione è stato rafforzato
- la comunicazione interna ed esterna è stata rafforzata
Cambiamento strutturale
- Scopo e campo di applicazione
- Riferimenti normativi
- Termini e definizioni
- Contesto dell’organizzazione
- Leadership
- Pianificazione
- Supporto
- Attività operative
- Valutazione delle prestazioni
- Miglioramento
Cosa non sarà necessario fare per organizzazioni che hanno già implementato un sistema di gestione in accordo alla ISO 14001:2004
- Eliminare i rappresentanti della direzione. La norma non lo prevede come obbligo, questo non impedisce alle organizzazioni di scegliere di mantenere questo ruolo, se lo desiderano. Tuttavia, è necessario tenere ben presente che alcuni dei compiti precedentemente affidati al rappresentante della direzione, dovranno ora essere svolti direttamente dal top management stesso
- Eliminare i propri manuali e le procedure documentate. Pur non essendovi alcun obbligo per avere un manuale (come peraltro già in precedenza) o procedure documentate, se questa documentazione è idonea, necessaria e funzionante, non vi è necessità che venga ritirata, ma può rimanere in vigore.
- Rinumerare la documentazione del Sistema di Gestione Ambientale esistente per farla corrispondere ai nuovi riferimenti / paragrafi dello standard. Anche se le organizzazioni possono scegliere di svolgere un esercizio di ri-numerazione, è l’organizzazione che deve valutare se i benefici ottenuti da tale ri-numerazione supereranno lo sforzo richiesto per attuarla. Resta inteso che, in ogni caso, l’organizzazione deve fare riferimento al rispetto della ISO 14001:2015, se vuole dimostrare la conformità a questo standard
- Ristrutturare il proprio sistema di gestione per seguire la sequenza dei requisiti fissati dalla ISO 14001:2015. Dimostrando di soddisfare tutti i requisiti contenuti nel nuovo standard è sufficiente affinché il sistema sia conforme
- Aggiornare la propria documentazione in vigore per utilizzare i nuovi termini e definizioni contenute nella ISO 14001:2015. Anche in questo caso, l’organizzazione è libera di valutare i benefici di questo aggiornamento rispetto agli sforzi necessari per attuarlo. Se l’organizzazione è più comoda con la propria terminologia, ad esempio, “registrazioni” al posto di “informazioni documentate”, allora questo è perfettamente accettabile
Considerazioni finali
- La sequenza dei paragrafi è variata -> High Structure Level basata sul documento ANNEX SL
- la sezione 4 richiede di determinare il contesto in cui l’organizzazione opera (determinare le parti interessate ed i requisiti pertinenti del loro sistema di gestione ambientale)
- va sviluppata una valutazione del rischio per quanto riguarda i rischi e le opportunità con riferimento ad aspetti ambientali, evidenziando gli obblighi legislativi e quelli regolamentari applicati, anche volontariamente
- il miglioramento delle prestazioni ambientali va evidenziato, preferibilmente misurato e monitorato con KPI
- vanno fatte valutazioni sul ciclo di vita e di sviluppo del prodotto, compresi la fine del ciclo di vita del prodotto, la catena di fornitura ed i processi affidati in outsourcing
- è stato rafforzato il Focus sul rispetto di tutte le prescrizioni legislative applicabili e sugli impegni presi dall‘organizzazione
- è stata rafforzata la comunicazione interna ed esterna
La nuova ISO 9001:2015
Breve sintesi sulla norma di certificazione ISO 9001:2015:
- La norma ISO 9001:2015 continua ad essere basata su un approccio orientato al processo con una chiara focalizzazione sui rischi e sulle opportunità potenziali.
- È espressamente consentita una struttura individuale del SGQ e documentazione di qualità individuale, che deve essere commisurato alla rispettiva organizzazione, ma non è richiesto “manuale” nè “procedure documentate”.
- La sua struttura corrisponde alla “Struttura di Alto Livello„ basata sul documento ‘ANNEX SL‘
- L’obiettivo è di estenderne l‘applicabilità ad una più ampia gamma di utenti. L’applicabilità ai servizi è stata facilitata.
- Devono essere forniti prodotti o servizi che non sono solo esclusivamente i desideri del Cliente, ma devono anche soddisfare i requisiti legali e normativi, in quanto applicabili.
- Inoltre, devono essere considerati l’ambiente e gli altri requisiti applicabili, incluse le parti interessate. (Contesto)
- Invariato l‘obiettivo esplicito dello standard di raggiungere la conformità dei prodotti e dei servizi ed un miglioramento della soddisfazione del Cliente
- La pubblicazione della norma ISO 9001:2015 è il 15/09/2015.
- Il periodo di transizione sarà di 3 anni.
Cambiamento strutturale
- Scopo e campo di applicazione
- Riferimenti normativi
- Termini e definizioni
- Contesto dell’organizzazione
- Leadership
- Pianificazione
- Supporto
- Attività operative
- Valutazione delle prestazioni
- Miglioramento
Cosa non sarà necessario fare per organizzazioni che hanno già implementato un sistema di gestione in accordo alla ISO 9001:2008
- Eliminare i rappresentanti della direzione. La norma non lo prevede come obbligo, questo non impedisce alle organizzazioni di scegliere di mantenere questo ruolo, se lo desiderano. Tuttavia, è necessario tenere ben presente che alcuni dei compiti precedentemente affidati al rappresentante della direzione, dovranno ora essere svolti direttamente dal top management stesso
- Eliminare i propri manuali qualità e le procedure documentate. Pur non essendovi alcun obbligo per avere un Manuale della Qualità o procedure documentate, se questa documentazione è idonea, necessaria e funzionante, non vi è necessità che venga ritirata, ma può rimanere in vigore
- Rinumerare la documentazione del Sistema di Gestione Qualità esistente per farla corrispondere ai nuovi riferimenti / paragrafi dello standard. Anche se le organizzazioni possono scegliere di svolgere un esercizio di ri-numerazione, è l’organizzazione che deve valutare se i benefici ottenuti da tale rinumerazione supereranno lo sforzo richiesto per attuarla. Resta inteso che, in ogni caso, l’organizzazione deve fare riferimento al rispetto della ISO 9001:2015, se vuole dimostrare la conformità a questo standard
- Ristrutturare il proprio sistema di gestione per seguire la sequenza di requisiti fissati dalla ISO 9001:2015. Dimostrando di soddisfare tutti i requisiti contenuti nel nuovo standard è sufficiente affinché il sistema sia conforme
- Aggiornare la propria documentazione in vigore per utilizzare i nuovi termini e definizioni contenute nella ISO 9001:2015. Anche in questo caso, l’organizzazione è libera di valutare i benefici di questo aggiornamento rispetto agli sforzi necessari per attuarlo. Se l’organizzazione è più comoda con la propria terminologia, ad esempio, “registrazioni” al posto di “informazioni documentate”, allora questo è perfettamente accettabile
Riassumento
Oltre alle numerose modifiche sostanziali ai requisiti, l’approccio stesso
all‘audit è stato modificato
- requisiti relativi alla documentazione sono notevolmente cambiati. Questo può tramutarsi in una varietà di modi in cui l‘azienda presenta informazioni documentate. A seconda di come le organizzazioni si sono organizzate, alcune informazioni saranno trattate esclusivamente a livello locale (EDP).
Un “Manuale” e “procedure” non devono essere presentate in anticipo. Ciò ha implicazioni per il controllo documentale, la pianificazione dell‘audit, ecc. - Il focus non è più solamente sulle informazioni documentate, ma l’attenzione è rivolta verso la “valutazione dell’adeguatezza e prestazioni del sistema”
- Anche gli strumenti di audit vanno adeguati e orientati ai processi aziendali. (vedi ISO / TS …)
- Per l‘approccio basato sul rischio ci si attende che l‘azienda abbia sviluppato una valutazione dei rischi e delle opportunità che potrebbero essere molto differenti, anche tra società dello stesso settore.
- Il top management ha bisogno di essere più coinvolto in futuro nel controllo.
- Al fine di soddisfare i nuovi requisiti per gli audit di certificazione, è necessaria una conoscenza del settore industriale e del prodotto, nonché è essenziale una buona preparazione personale.
Tabella di corrispondenza delle ISO 9001
| ISO 9001:2015 | ISO 9001:2008 |
| 8 Attività | – |
| 8.1 Pianificazione e controllo operativo | 7.1b |
| 8.2 Determinazione dei requisiti per i prodotti e servizi | – |
| 8.2.1 Comunicazione con il Cliente | 7.2.3 |
| 8.2.2 Determinazione dei requisiti relativi a prodotti e servizi | 7.2.1 |
| 8.2.3 Riesame dei requisiti relativi a prodotti e servizi | 7.2.1; 7.2.2 |
| 8.3 Progettazione e sviluppo di prodotti e servizi | – |
| 8.3.1 Generalità | nuovo requisito |
| 8.3.2 Elementi in ingresso alla progettazione ed allo sviluppo | 7.3.1 |
| 8.3.3 Elementi in ingresso alla progettazione ed allo sviluppo | 7.3.2 |
| 8.3.4 Controlli della progettazione e dello sviluppo | 7.3.3, 7.3.4, 7.3.5, 7.3.6 |
| 8.3.5 Elementi in uscita dalla progettazione ed dallo sviluppo | 7.3.3 |
| 8.3.6 Modifiche alla progettazione e allo sviluppo | 7.3.7 |
| 8.4 Controllo dei prodotti e servizi forniti esternamente | – |
| 8.4.1 Generalità | 7.4.1, 7.4.3 |
| 8.4.2 Tipo ed estensione del controllo della fornitura esterna | 7.4.1, 7.4.3 |
| 8.4.3 Informazioni dai fornitori esterni | 7.4.1, 7.4.2, 7.4.3 |
| 8.5 Produzione ed erogazione del servizio | – |
| 8.5.1 Controllo della produzione e dell’erogazione del servizio | 7.5.1, 7.5.2 |
| 8.5.2 Identificazione e rintracciabilità | 7.5.3 |
| 8.5.3 Proprietà appartenenti a Clienti o fornitori esterni | 7.5.4 |
| 8.5.4 Conservazione | 7.5.5 |
| 8.5.5 Attività di post-consegna | nuovo requisito |
| 8.5.6 Controllo delle modifiche | nuovo requisito |
| 8.6 Rilascio dei prodotti e dei servizi | 8.2.4 |
| 8.7 Controllo delle non conformità degli elementi in uscita dal processo, dei prodotti e dei servizi | 8.3 |
| 9. Valutazione delle prestazioni | – |
| 9.1 Monitoraggio, misurazione, analisi e valutazione | – |
| 9.1.1 Generalità | 8.1 |
| 9.1.2 Soddisfazione del cliente | 8.2.1 |
| 9.1.3 Analisi e valutazione | 8.4 |
| 9.2 Audit Interni | – |
| 9.2.1 | 8.2.2 |
| 9.2.2 | 8.2.2 |
| 9.3 Riesame della Direzione | – |
| 9.3.1 | 5.6.1, 5.6.2 |
| 9.3.2 | 5.6.3 |
| 10. Miglioramento | – |
| 10.1 Generalità | nuovo requisito |
| 10.2 Non conformità ed azioni correttive | – |
| 10.2.1 | 8.3, 8.5.2 |
| 10.2.2 | 8.5.2 |
| 10.3 Miglioramento continuo | 8.5.1 |
