Política de Gestión Integrada
DIRIGIDO AL CONOCIMIENTO DE TODO EL PERSONAL DE OUTCOMES’10 Y PARTES INTERESADAS
La Dirección de OUTCOMES’10 expone su Política de Gestión Integrada que será punto de referencia obligado para la Gestión Integrada de los Sistemas según modelo de las Norma UNE-EN-ISO 9001, ISO 27001 y el RGPD en sus relaciones con trabajadores, clientes, proveedores y partes interesadas, y se compromete a que sea difundida, implantada y mantenida en todos los niveles de la organización. De este modo, define y establece los requisitos sobre los que se dará cumplimiento a las normas UNE-EN-ISO 9001 y UNE-EN-ISO-27001, de gestión, siendo aplicables todos los apartados de estas en el alcance de la certificación:
INVESTIGACIÓN DE RESULTADOS EN SALUD, ECONOMÍA DE LA SALUD Y ACCESO AL MERCADO que se desarrollan en nuestras instalaciones sitas en ESPAITEC, Parque Científico y Tecnológico, Universitat Jaume I, Edificio Espaitec 2, 3ª Planta de la Avda. Sos Baynat s/n, 12071 Castellón de la Plana (España).
El compromiso de OUTCOMES’10 es alcanzar la excelencia en la gestión de la calidad y en la gestión de la información implicando en este compromiso a todos los grupos de interés a los que afecta la estrategia de empresa: trabajadores, proveedores, clientes, visitantes y sociedad en general.
Así se elabora la Política de Gestión Integrada que aúna la Gestión de Calidad, Gestión de Seguridad de la Información, así como de la protección de los datos, según los siguientes compromisos que cumplen con los requisitos establecidos por las Norma UNE-EN- ISO 9001, ISO 27001 y el RGPD.
La Dirección de OUTCOMES’10 asume los siguientes OBJETIVOS considerándolos ejes fundamentales de su estrategia empresarial:
- El Sistema de Gestión Integrada y su mejora son responsabilidad de todos los integrantes de OUTCOMES’10 y requiere de la participación y colaboración desde la Dirección hasta cada uno/a de sus trabajadores/as, por lo que esta Política es difundida a todo el personal de OUTCOMES’10 para su conocimiento, comprensión y cumplimiento.
- La Calidad, la Seguridad de la Información y la protección de los datos se obtienen planificando, ejecutando, revisando y mejorando el Sistema de Gestión Integrada, teniendo presente en todo momento el contexto de la organización, tanto interno como externo.
- El Sistema de Gestión Integrada está orientado hacia la Satisfacción de todos nuestros clientes (y partes interesadas), mediante el compromiso de toda la organización en cumplir con sus necesidades y requisitos en materia de calidad, seguridad de la información y protección de datos, así como los requisitos legales y reglamentarios y los propios de aplicación a las líneas de negocio desarrolladas por la organización e incluidas en el alcance del Sistema de Gestión Integrada.
- El Sistema de Gestión Integrada se apoya en la Mejora Continua tanto de los procesos productivos y de prestación del servicio, como de la eficacia del propio Sistema de Gestión Integrada en el que prevenir los errores es un aspecto fundamental.
- El Sistema de Gestión Integrada nos dirige a prestar la máxima atención a la evolución tecnológica y a las posibles mejoras que las nuevas tecnologías pusieran a nuestra disposición.
Dado que las actividades de negocio principales: la Investigación de Resultados en Salud, Economía de la Salud y Acceso al Mercado, implican la gestión de información altamente confidencial no sólo propia sino también de terceros, además de datos de carácter personal especialmente sensibles, la Dirección de OUTCOMES’10, establece como PRINCIPIOS específicos de la seguridad de la información los siguientes:
- La protección de los datos de carácter personal y la intimidad de las personas.
- La salvaguarda de los registros de la organización.
- La protección de los derechos de propiedad intelectual.
- La documentación de la política de seguridad de la información.
- La asignación de responsabilidades de seguridad.
- La formación y capacitación para la seguridad de la información.
- El registro de las incidencias de seguridad.
- La gestión de la continuidad del negocio.
- La gestión de los cambios que pudieran darse en la empresa relativos a la seguridad.
Y para ello adquiere los siguientes COMPROMISOS:
- Utilizar los datos mínimos necesarios para cumplir con las finalidades que se indiquen en cada caso, asegurándose, en la medida de lo posible, de la veracidad y exactitud de los mismos.
- Definir e implantar las medidas técnicas y organizativas necesarias para asegurar la confidencialidad, integridad y disponibilidad de los datos personales, basándose en una estimación de los riesgos que pueden afectar al tratamiento de los datos.
- Asegurar el cumplimiento del derecho de información y la obtención del consentimiento para el tratamiento de los datos, así como la posibilidad del ejercicio del resto de derechos contemplados por la legislación (acceso, rectificación, cancelación, oposición, decisiones individuales automatizadas, portabilidad y limitación del tratamiento).
- Asumir el compromiso para minimizar y comunicar las violaciones de seguridad, así como de colaborar con la autoridad de control (Agencia de Protección de Datos), para la resolución de incidentes o conflictos que puedan derivarse del incumplimiento de la normativa.
- Prevención y detección de virus y otro software malicioso, mediante el desarrollo de políticas específicas y el establecimiento acuerdos contractuales con organizaciones especializadas.
- Gestión de la continuidad del negocio, desarrollando planes de continuidad conformes a metodologías de reconocido prestigio internacional.
- Establecimiento de las consecuencias de las violaciones de la política de seguridad, las cuales serán reflejadas en los contratos firmados con las partes interesadas, proveedores y subcontratistas.
- Actuar en todo momento dentro de la más estricta ética profesional y cumpliendo con toda la legislación aplicable a su actividad (indicada en el listado correspondiente del SGSI) de carácter general (Código de Comercio, Código Civil) y específico.
Y pone a disposición un COMITÉ DEL SISTEMA DE GESTION INTEGRADA:
- formado por el Director del SGI, el Responsable del SGI y el personal implicado en el correcto funcionamiento del Sistema de Gestión Integrada, que podrán estar auxiliados de manera permanente o esporádica por consultores externos;
- con una figura de Secretario del Comité del Sistema de Gestión Integrada que es el Responsable del SGI (o persona en quien delegue) y tiene como funciones la preparación de las reuniones, la difusión de sus resultados y el seguimiento de los acuerdos alcanzados;
- que reporta a Dirección;
- y que tiene como funciones:
- coordinar y aprobar las acciones relativas a Calidad, Seguridad de la Información y Protección de Datos;
- impulsar la cultura en las tres áreas
- Asignar responsabilidades entre los miembros de la organización, respecto a las obligaciones relativas a las tres áreas;
- participar en la categorización de los sistemas y el análisis de riesgos;
- revisar y aprobar la documentación relacionada con el sistema de gestión integrada;
- resolver discrepancias y problemas que puedan surgir en cualquiera de las tres áreas.
- Supervisar y comprobar el cumplimiento.
- Iniciar el proceso sancionador en caso de incumplimiento
JEFE SEGURIDAD DE LA INFORMACION
OUTCOMES’10 ha incorporado una figura especializada en el apartado de Seguridad de la Información, de forma que colabore en la Gestión habitual del Sistema de Gestión Integrada implantado
Tiene como funciones habituales:
- Impulsar la cultura en seguridad de la información;
- Participar en la categorización de los sistemas y el análisis de riesgos;
- Revisar la documentación relacionada con la seguridad de la información;
- Reportar cualquier información al Responsable del Sistema de Gestión Integrada;
- Soporte al responsable SGI en materia de SGSI
DELEGADO DE PROTECCION DE DATOS
OUTCOMES’10 ha incorporado una figura externa especializada en el apartado de Protección de Datos, de forma que supervise el adecuado cumplimiento de las normas sobre protección de datos personales en la entidad y de soporte al personal encargado de este apartado dentro de la organización.
Esta Política de Gestión Integrada proporciona el marco de referencia para la mejora continua del Sistema de Gestión Integrada, así como para establecer y revisar sus objetivos, siendo comunicada a toda la Organización a través del gestor documental instalado en la organización y su publicación en paneles informativos, siendo revisada anualmente para su adecuación y extraordinariamente cuando concurran situaciones especiales y/o cambios sustanciales, estando a disposición público en general.
OBLIGACIONES DEL PERSONAL
- Todos los trabajadores de OUTCOMES’10 tienen la obligación de conocer esta Política de Gestión Integrada, que es de obligado cumplimiento dentro del alcance identificado, junto el resto de las políticas establecidas por OUTCOMES’10, siendo responsabilidad del Comité del Sistema de Gestión Integrada disponer los medios necesarios para que la información llegue a los afectados.
- Se establecerá un programa de concienciación continua que abarque a todos los miembros de OUTCOMES’10, en particular a los de nueva incorporación.
TERCERAS PARTES
- Las terceras partes relacionadas con OUTCOMES’10, dentro del alcance, firman con la empresa un acuerdo que protege la información intercambiada.
- Cuando OUTCOMES’10 utilice servicios de terceros o ceda información a terceros, se les hará partícipes de esta Política de Gestión Integrada. Dicha tercera parte quedará sujeta a las obligaciones establecidas en dicha Política, pudiendo desarrollar sus propios procedimientos operativos para satisfacerla.
- Cuando algún aspecto de la Política no pueda ser satisfecho por una tercera parte según se requiere en los párrafos anteriores, se requerirá un informe del Responsable de Sistema de Gestión Integrada que precise los riesgos en que se incurre y la forma de tratarlos. Se requerirá la aprobación de este informe por los responsables de la información y los servicios afectados antes de seguir adelante.
Luis Lizán
Director de Outcomes’10
En Castellón, 18 de Julio de 2024