il GDPR fra Schemi e Meccanismi di certificazione

L’entrata in vigore del GDPR ha introdotto il concetto dei meccanismi di certificazione inducendo a credere, ai più, che una certificazione ISO 27001, e più recentemente secondo la norma ISO 27701, potesse  dimostrare la conformità al regolamento per i trattamenti effettuati dai titolari e dai responsabili.

A distanza di quasi 5 anni, dalla data del 25 maggio 2016, si è ormai ben compreso che così non è.

L’art. 43/679/2016 richiama, infatti, la ISO 17065 quale norma di riferimento dei suddetti meccanismi specificando doversi trattare della certificazione di prodotti, processi e servizi e non della certificazione di sistemi di gestione aziendale.

Ciò premesso, l’implementazione di un sistema di gestione, secondo la norma ISO 27001, in materia di sicurezza dell’informazione, o ISO 22301, sulla continuità operativa, costituisce un forte elemento di garanzia sul fatto che l’Organizzazione si stia muovendo nel modo appropriato nell’adeguamento al regolamento.

Non vi è dubbio alcuno, infatti, che le certificazioni in discorso soddisfano l’art. 32/679 laddove annovera, fra i propri requisiti, la capacità del titolare di:

1. assicurare su base permanente la riservatezza, l’integrità, la disponibilità
   e la resilienza dei sistemi e dei servizi di trattamento;
2. ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;
3. testare, verificare e valutare regolarmente, attraverso una procedura, l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.

Non solo! L’implementazione dei suddetti sistemi di gestione potrebbe costituire quel fattore attenuante applicabile alle circostanze del caso, con riferimento all’inflizione delle sanzioni amministrative pecuniarie ex art. 83, § 2, lett. k).

A questo punto, manca solo la ciliegina sulla torta!

La certificazione dei trattamenti secondo il meccanismo ISDP 10003 (Schema Internazionale per la valutazione della conformità al Regolamento europeo 2016/679), conforme agli artt. 42 e 43 nonché ai requisiti aggiuntivi di cui alla Delibera 29 luglio 2020, n. 148.
Non dimentichiamoci, infatti, che l’adesione ai meccanismi di certificazione approvati ai sensi dell’articolo 42 costituisce sicuramente un fattore attenuante nella comminazione delle sanzioni di cui all’art. 83 (v. § 2, lett. j).

Ti ricordo che:

• per il conseguimento della certificazione dei Sistemi di gestione aziendale secondo le norme ISO 27001 e 22301;
• per il conseguimento della certificazione dei tuoi trattamenti secondo gli artt. 42 e 43 del GDPR;
• per un’assistenza personalizzata nell’applicazione della normativa cogente e volontaria

occorrono competenze trasversali e multidisciplinari.
Visita il mio sito http://www.colaianniconsulting.it e contattami, insieme faremo la differenza.

Marcello Colaianni
Compliance & Mgmt Systems Consultant/Auditor
Accredia Certified DPO, DP Auditor e ISDP 10003 Auditor
Qualified ISO 27001 Auditor e ISO 37001 Lead Auditor

Il conflitto d’interessi nello svolgimento dei compiti minimali del DPO

Ci sono state, e ve ne sono ancora, varie riflessioni su cosa debba intendersi per quella  consulenza che il DPO – ai sensi dell’art. 39/679/2016, § 1., lett. a) – deve fornire rispetto alla concezione generale di quella per cui si ricorre al Privacy Consultant, ed anche il sottoscritto si è espresso nell’articolo <<Il DPO fra attività di consulenza e compiti di sorveglianza>> balenando l’ipotesi, di cui rimango convinto, che le due consulenze eventualmente erogate dal medesimo soggetto pongono il DPO in una agevole situazione di conflitto d’interessi.

Ed è su questo tema che mi voglio ancora qui soffermare. Quello del conflitto d’interessi sul quale il Titolare, ed il Responsabile, devono assicurarsi circa la sua assenza in sede di designazione, e a seguire, del Responsabile della Protezione dei Dati (RPD/DPO).

La possibilità di avvalersi di un DPO che può svolgere altri compiti e funzioni lascia al Titolare la convinzione di poter ricorrere al suo know how in lungo ed in largo. L’art. 38, al § 6, però, aggiunge che tali altri compiti e funzioni non diano adito a un conflitto d’interessi.

Ne consegue, ragionevolmente, che il DPO che prima della nomina sia intervenuto in qualità di Consulente privacy per assistere il Titolare nell’implementazione del modello di gestione dei dati personali possa ricoprirne il ruolo solo delegando le precedenti funzioni ad un altro soggetto.

Su questo aspetto, le linee guida del WP 29, si sono ben espresse con varie esemplificazioni di ipotesi di conflitto di interesse sia nel caso di assunzione del ruolo all’interno dell’organizzazione sia all’esterno attraverso un contratto di servizi ribadendo che un DPO non possa ricoprire ruoli che comportino la definizione delle finalità o modalità di trattamento dei dati personali né in posizione di vertice né in quelle gerarchicamente inferiori.

La determinazione delle finalità e dei mezzi del trattamento di dati personali è infatti una prerogativa del Titolare e, specularmente, del Responsabile.

La riflessione si sposta e a questo punto ci si chiede: “Ma quelli del Chief Internal Auditor, del Compliance Officer o del Legal sono ruoli che determinano finalità e mezzi del trattamento di dati personali?” Evidentemente si … e non c’è nemmeno bisogno di essere responsabili di funzione, se ci sono i presupposti.

Ma una soluzione c’è, è sufficiente usare un po’ di senso logico.

Fra tutte le definizioni, quella che trovo più vera, semplice e calzante anche in questo contesto è quella per cui il conflitto di interessi si configura qualora il DPO si trovi o possa trovarsi a controllare situazioni di gestione di dati personali da lui stesso determinate per posizione gerarchica o in virtù della propria funzione o incarico: vale a dire, quelle situazioni in cui si trovi, contemporaneamente, a essere controllore e controllato. E ciò a prescindere dal livello gerarchico coinvolto.

Se, così è se vi pare, le conclusioni a cui sono arrivate le autorità che si sono espresse sul conflitto di interesse del DPO sono evidentemente condivisibili.

Ne consegue che, a solo titolo esemplificativo, l’assunzione di ruoli come quelli di RSPP, Responsabile per la qualità o membro dell’Organismo di Vigilanza, svolti con incarichi di livello manageriale o nell’ambito di attività di consulenza o di prestazione d’opera, siano in conflitto d’interessi con la designazione del DPO in quanto idonei a determinare finalità e mezzi del trattamento di dati personali ..… salvo poi dimostrare che specifiche azioni sicuramente attribuibili al DPO – quali le attività di revisione, comprese le ispezioni, realizzati per conto del titolare del trattamento nei confronti del responsabile (art. 28/679/2016) laddove questi sia stato designato DPO anche dal Responsabile – siano state effettuate da un soggetto diverso.  

Per i suddetti motivi, sono assolutamente in disaccordo sul fatto che, contrariamente al parere dello stesso WP29, i DPO possano realizzare l’inventario dei trattamenti e tenere un registro di tali trattamenti sulla base delle informazioni fornite loro dai vari uffici o unità che trattano dati personali … pur sempre sotto la responsabilità del titolare o del responsabile.

Ma cosa vuol dire? Non bisogna evitare di dare adito a conflitti d’interesse?

Allora che sia il DPO ad occuparsi di tutto ciò che riguarda la protezione dei dati personali perché, tanto, è il titolare ovvero il responsabile a mantenere le proprie responsabilità.

Ma questa è una prassi consolidata e fondata sulle disposizioni di leggi nazionali nonché sulla normativa in materia di protezione dati applicabile alle istituzioni ed agli organismi dell’UE.

A onor del vero, il Reg. UE 45/2001 prevede in maniera esplicita il compito, per il responsabile della protezione dei dati, di tenere il registro delle operazioni effettuate dal responsabile del trattamento, riportandovi le informazioni di cui all’articolo 25, paragrafo 2 così come il fatto che la scelta del responsabile della protezione dei dati non deve dar luogo a un possibile conflitto di interessi tra la sua funzione di responsabile ed altre eventuali funzioni di ufficio, in particolare nell’ambito dell’applicazione delle disposizioni del presente regolamento.

Delle due, l’una: o il DPO può svolgere altri compiti e funzioni oppure no per assunzione automatica di conflitti d’interessi!

Un’ulteriore presa di posizione è quella per cui le linee guida del WP29, così come i provvedimenti del Garante, non hanno valore precettivo né inibitorio ponendosi solo come strumento interpretativo. Sarà, ma il mio DNA di consulente mi impone di non tergiversare su interpretazioni suscettibili di contenziosi che non portano da nessuna parte privilegiando, piuttosto, alternative certe e gestibili. E ciò a maggior ragione considerando che il Nucleo speciale tutela della privacy e frodi tecnologiche fa proprie tanto le linee guida quanto la posizione dell’Ufficio del Garante.

Ti ricordo che:

• per un’assistenza personalizzata nell’applicazione della normativa cogente e volontaria;
• per una consulenza specifica in materia di GDPR e normativa correlata;
• per un approccio puntuale nel raggiungimento dei tuoi obiettivi

occorrono competenze trasversali e multidisciplinari.

Visita il mio sito http://www.colaianniconsulting.it e contattami, insieme faremo la differenza.

Marcello Colaianni
Compliance & Mgmt Systems Consultant/Auditor
Accredia Certified DPO, DP Auditor e ISDP 10003 Auditor
Qualified ISO 27001 Auditor e ISO 37001 Lead Auditor

Il Medico competente è Titolare autonomo del trattamento

Nell’attribuzione al Medico Competente, ex D. Lgs. 81/08, del ruolo più appropriato dal punto di vista della protezione dei dati personali, vi erano dubbi sul fatto di inquadrarlo come Responsabile o Contitolare.

L’Ufficio del Garante Privacy si è espresso diversamente qualificandolo come Titolare autonomo.

C’è da chiedersi AUTONOMO rispetto a chi, o a che cosa?

Al datore di lavoro, ovvero al Titolare che lo nomina, assolutamente no. C’è un’evidente relazione fra i 2 soggetti.

AUTONOMO con riferimento allo svolgimento di particolari trattamenti che il Medico competente effettua in totale autonomia. Trattamenti che non sono condivisi con il Titolare proprio perché di esclusiva pertinenza della propria attività.

Infatti il medico competente è l’unico soggetto legittimato a trattare in piena autonomia e competenza i dati personali di natura sanitaria che sono indispensabili per le finalità in materia di sicurezza sul lavoro.

Il Datore di lavoro, da parte sua, non può assolutamente trattare siffatti dati particolari, se non indirettamente e limitatamente al solo giudizio di idoneità alla mansione specifica ed alle eventuali prescrizioni che il professionista stabilisce come condizioni di lavoro.

È per questi motivi che il MC assume la qualità di AUTONOMO TITOLARE DEL TRATTAMENTO ciò, nonostante i suddetti  accertamenti medici al dipendente siano compiuti a spese e a cura del datore di lavoro.

E il Medico competente che svolge le stesse funzioni come dipendente del Datore di lavoro è da considerarsi alla stessa stregua.

A ben vedere, è lo stesso regolamento a considerare in via autonoma le funzioni del medico competente con riguardo ai trattamenti necessari per le finalità di medicina del lavoro distinguendoli dai trattamenti del datore di lavoro necessari per adempiere ai propri obblighi in materia di sicurezza sul lavoro.

Lo si evince dagli articoli 9, lettere b) e h) e 88 nonché dai Considerando 52, 53 e 155.

Ecco, questa specificazione sulla qualifica del MC era quanto mai doverosa ed opportuna perché sulla base delle appropriate attribuzioni di questo o quel soggetto possono derivare differenti decisioni e comportamenti.

Ti ricordo che:

• per un’assistenza personalizzata nell’applicazione della normativa cogente e volontaria;
• per una consulenza specifica in materia di GDPR e normativa correlata;
• per un approccio puntuale nel raggiungimento dei tuoi obiettivi

occorrono competenze trasversali e multidisciplinari.

Visita il mio sito http://www.colaianniconsulting.it e contattami, insieme faremo la differenza.

Marcello Colaianni
Compliance & Mgmt Systems Consultant/Auditor
Accredia Certified DPO, DP Auditor e ISDP 10003 Auditor
Qualified ISO 27001 Auditor e ISO 37001 Lead Auditor

Con il GDPR, una riqualificazione della norma UNI EN ISO 9001

La certificazione UNI EN ISO 9001, nel tempo, ha sempre più perso appeal nella capacità delle Organizzazioni di dimostrare:

1. la propria capacità di fornire con regolarità prodotti o servizi che soddisfano i requisiti del cliente e i requisiti cogenti applicabili;
2. la soddisfazione del cliente tramite l’applicazione efficace del sistema, compresi i processi per migliorare il sistema stesso e assicurare la conformità ai requisiti del cliente e ai requisiti cogenti applicabili.

Soprassediamo sui motivi … e tiriamo un sospiro di soddisfazione nel constatare, ora, la sempre maggiore sensibilità a quello che la 9001 riporta fra i suoi requisiti.
Mi riferisco alla Nota del § 8.5.3 Proprietà che appartengono ai clienti o ai fornitori esterni  in cui è scritto che <<La proprietà del cliente o del fornitore esterno può comprendere (…) dati personali>>.

Siffatta specificazione non può esimerci dal ricorrere, subito, al Reg. UE 679/2016 (GDPR) che detta specifiche disposizioni sul trattamento e protezione dei dati personali. Trattandosi di una parte integrante della norma di sistema si assume che il requisito debba intendersi obbligatorio, com’è giusto che sia.

A questo punto, la domanda sorge spontanea: qual è il livello di approfondimento nella verifica dell’effettiva cura della proprietà dei clienti o dei fornitori esterni, quando essa si trova sotto il suo (Organizzazione = Titolare del trattamento) controllo o viene da essa utilizzata?

La suddetta riflessione, mi ricorda i comportamenti richiesti agli auditor con riferimento all’applicazione dell’attuale § 7.1.4 Ambiente per il funzionamento dei processi per il quale, al di là delle evidenze sottoposte a verifica, prevaleva l’orientamento per cui trattandosi, solo, di un Sistema di gestione per la qualità e non di un Sistema di gestione per la sicurezza sul lavoro (SGSL) non era necessario entrare troppo nel merito.

E adesso? Come ci si deve comportare in presenza di una proprietà altrui, clienti e fornitori; quella che riguarda i dati delle persone fisiche a questi riconducibili?

Ci si dovrebbe aspettare un sistema certificato ad-hoc? Basta accontentarsi di verificare l’esistenza di un organigramma per la data protection? La nomina del DPO o ancora i Registri dei trattamenti?
E quali dovrebbero essere le nuove competenze degli auditor di SGQ? Cambierebbe qualcosa?

Allo stesso modo, il § 7.5.3.1, in tema di Controllo delle informazioni documentate, richiede che queste:

1. siano disponibili e idonee all’utilizzo, dove e quando necessario;
2. siano adeguatamente protette (per esempio da perdita di riservatezza, utiIizzo improprio, o perdita d’integrità) …

… requisiti che mi portano immediatamente alla mente quanto al paragrafo 6.1.2.c) della norma UNI CEI EN ISO/IEC 27001 che, a proposito di Sistemi di gestione della sicurezza dell’informazione (SGSI), prevede che nel processo di valutazione dei rischi si identifichino:

1. i rischi associati alla perdita di riservatezza, di integrità e di disponibilità delle informazioni incluse nel campo di applicazione del sistema di gestione per la sicurezza delle informazioni; e
2. i responsabili dei rischi.

Anche in questo caso, a voler fare bene le cose, diventa utile:

1. un SGSI certificato oppure
2. un SGSI implementato secondo la norma ISO 27001 oppure
3. adottare e dare evidenza delle azioni intraprese per garantire, fra l’altro, Riservatezza, Integrità e Disponibilità delle informazioni.

Il mio pensiero è naturalmente soggettivo e non posso pretendere sia condiviso in  toto. Sta di fatto che la dovuta attenzione ai suddetti temi, ovvero alla cura dei dati personali ed alle informazioni documentate, è del tutto coerente allo scopo e campo di applicazione di cui al paragrafo 1 della 9001. Ciò dovrebbe farci riflettere e rendere conto, finalmente, che gli argomenti in essa richiamati necessitano di focus e di un aggiornamento delle competenze anche da parte degli auditor SGQ.

Con questa prospettiva la norma UNI EN ISO 9001 riacquista, a buon diritto, il valore che le è proprio!

Torniamo a noi!
Come devono comportarsi le Organizzazioni?

Per quanto alle materie qui trattate, al di là di valutare di volta in volta l’opportunità di un Sistema di gestione integrato, quello che mi sento di suggerire, come soluzione ideale, è affiancare la certificazione di Qualità 9001 a:

1. un meccanismo di certificazione secondo lo schema internazionale ISDP 10003:2020, conformemente ai requisiti del Reg. UE 679/2016 e
2. una certificazione del Sistema di gestione della sicurezza delle informazioni secondo la ISO 27001

oppure

1. un meccanismo di certificazione secondo la ISO 27701 (che ricordiamo essere non conforme al Reg. UE 679/2016 – GDPR) con la preliminare
2. certificazione del Sistema di gestione della sicurezza delle informazioni secondo la ISO 27001.

In conclusione, ti ricordo che:

1. per una consulenza specifica in materia di GDPR e normativa correlata, ISDP 10003, ISO 27001 e ISO 27701;
2. per un’assistenza personalizzata nell’applicazione della normativa cogente e volontaria;
3. per un approccio puntuale nel raggiungimento dei tuoi obiettivi

occorrono competenze trasversali e multidisciplinari.

Visita il mio sito http://www.colaianniconsulting.it e contattami, insieme faremo la differenza.

Marcello Colaianni
Compliance & Mgmt Systems Consultant/Auditor
Accredia Certified DPO, DP Auditor e ISDP 10003 Auditor
Qualified ISO 27001 Auditor e ISO 37001 Lead Auditor

ANTIRICICLAGGIO e CONSERVAZIONE DEI DOCUMENTI

I soggetti destinatari di cui al D. Lgs 21 novembre 2007, n. 231 e smi in materia di antiriciclaggio – fra cui si ricordano gli intermediari bancari e finanziari, gli altri operatori finanziari e non finanziari, le società di revisione – hanno l’obbligo di conservazione e messa a disposizione dei documenti contenenti dati ed informazioni a fini di antiriciclaggio e antiterrorismo.

Sulla base delle disposizioni emanate dalle rispettive Autorità di vigilanza, quest’obbligo può essere esternalizzato, in presenza di presupposti.

L’eventuale terziarizzazione trova come controparte i Conservatori digitali la cui attività è disciplinata dal DPCM 3 dicembre 2013.

L’esternalizzazione dell’attività di conservazione pone le parti nelle condizioni di formalizzare un accordo che definisca in modo chiaro ed inequivocabile i rispettivi compiti e responsabilità.

Qui, non sfugge al lettore come siffatta ipotesi si traduca per i conservatori digitali in una possibile ASA per la quale è utile porre attenzione sull’assunzione di opportuni comportamenti che si traducono nel conseguimento di certificazioni ovvero attestazioni ad–hoc volte a dimostrare le proprie competenze distintive in ossequio alle differenti disposizioni di legge.

Spaziamo, in questa sede, fra normativa primaria e secondaria e, ancora, fra normativa cogente e volontaria.

Normativa primaria perché gli obblighi di conservazione sono dettati dal D. Lgs. 231/07, normativa secondaria in quanto le disposizioni per la conservazione e la messa a disposizione dei documenti, dei dati e delle informazioni per il contrasto del riciclaggio e del finanziamento del terrorismo sono stabilite dalle Autorità di vigilanza, ovvero dalla Banca d’Italia, dall’Ivass e dalla Consob in relazione alla tipologia dei soggetti destinatari. Si parla, infine, di normativa volontaria con riferimento all’applicazione di idonei modelli di organizzazione e gestione riconducibili:

1. al Sistema di gestione della Responsabilità amministrativa degli enti (SGRA),
2. al Sistema di gestione per prevenzione della corruzione (SGPC),
3. al Sistema di gestione per il contrasto al riciclaggio e lotta al finanziamento del terrorismo (SGAR),
4. al Sistema di gestione della sicurezza delle informazioni (SGSI) e
5. allo Schema di riferimento per la protezione dei dati personali (ISDP 10003).

Il minimo comune denominatore dei suddetti schemi di certificazione, che consiste nella preliminare applicazione dei requisiti di legge, la loro interoperabilità e le interazioni che si pongono con le leggi a cui si rifanno costituiscono l’essenza di un modello integrato che consente all’organizzazione, per il tramite dei presidi coinvolti, di monitorare consapevolmente il rispetto ed osservanza dell’intero impianto normativo di riferimento.

Ti ricordo che:

1. per una consulenza specifica in materia di Organizzazione aziendale, D. Lgs. 231/01, D. Lgs. 231/2007, D. Lgs. 38/2017, GDPR e novellato D. Lgs. 196/03, ISDP 10003, ISO 27001 e ISO 37001;
2. per un’assistenza personalizzata nell’applicazione della normativa cogente e volontaria;
3. per un approccio puntuale nel raggiungimento dei tuoi obiettivi

occorrono competenze trasversali e multidisciplinari.
Visita il mio sito http://www.colaianniconsulting.it e contattami, insieme faremo la differenza.

Marcello Colaianni
Compliance & Mgmt Systems Consultant/Auditor
Certified DPO e ISDP 10003 Auditor
Qualified ISO 37001 Auditor

Gli MTO fra vincoli ed opportunità

I Money Transfer Operator (MTO) rientrano nel novero dei soggetti obbligati all’osservanza della legislazione Antiriciclaggio al pari, fra gli altri, dei professionisti, delle società di revisione, delle imprese di assicurazione, degli istituti di moneta elettronica, dei prestatori di servizi relativi all’utilizzo di moneta virtuale o ancora di servizi di portafoglio digitali.

La particolarità del loro core business, l’effettuazione di operazioni di trasferimento verso paesi esteri di flussi finanziari, impone frequenti controlli da parte dell’Autorità di vigilanza.

La presenza dei molteplici paletti che li riguardano suggeriscono l’adozione di una serie di presidi organizzativi che, insieme all’adeguata applicazione della normativa cogente, sia primaria che secondaria, esaltino l’assunzione di comportamenti virtuosi e lungimiranti attraverso il conseguimento di certificazioni o attestazioni di idonei modelli di organizzazione e gestione (MOG).

È proprio su questi temi che le opportunità si sprecano potendo orientarsi verso l’implementazione di:

• Sistemi di gestione per l’Antiriciclaggio (SGAR),
• Sistemi di gestione per l’Anticorruzione (SGAC),
• Sistemi di gestione per la Responsabilità amministrativa degli Enti (SGRA),
• Sistemi di gestione della sicurezza delle informazioni (SGSI),
• Meccanismi di certificazione dei trattamenti dei dati personali (ISDP).

Del tutto coerenti alle norme di legge, sono fra loro interoperabili attraverso il sistema High Level Structure e costituiscono, tutte, evidenza oggettiva per un Rating di legalità a tre stelle.

Le relazioni sono evidenti.

Innanzitutto ognuna delle norme tecniche prevede il soddisfacimento dei requisiti di legge. Inoltre, per le organizzazioni di piccole dimensioni in cui è assente, per esempio, un’articolazione  interna fondata su una pluralità di centri decisionali, sia la normativa secondaria sia quella di sistema contemplano la possibilità di esternalizzare la funzione antiriciclaggio così come quella per la prevenzione della corruzione con la possibilità, per il compliance officer, di avvalersi di consulenti per l’adozione di un efficace MOG 231.

Le organizzazioni in parola, in aggiunta, devono soddisfare i vari requisiti mettendo in sapiente relazione le suddette normative ed evitando che la singola ottemperanza produca una non conformità con riferimento alle altre disposizioni.

Per esempio, all’art. 3/231/2007, comma 2, si legge: “I sistemi e le procedure adottati ai sensi del comma 1 rispettano le prescrizioni e garanzie stabilite dal presente decreto e dalla normativa in materia di protezione dei dati personali” il che pone i soggetti destinatari a circoscrivere la raccolta di informazioni e dati, per il principio di minimizzazione, a quanto è necessario per rispettare le prescrizioni della normativa di contrasto al riciclaggio e finanziamento del terrorismo, senza alcuna autorizzazione ad altri usi. Ciò vale, indifferentemente, per il destinatario così come per la rete distributiva e i mediatori.

L’Antiriciclaggio rientra fra i reati 231 essendo contemplato all’art. 25-octies. L’osservanza del D. Lgs. 231/01, oltre che del D. Lgs. 231/2007, si rende quindi assolutamente necessario. Qui, è prevista l’istituzione dell’Organismo di Vigilanza (OdV) che può  rappresentare l’organo con funzioni di controllo richiamato dal Provvedimento della Banca d’Italia.

E a proposito di 231/01 basti l’elenco dei reati per rendersi conto di quanto sia utile, ed opportuno, estendere il proprio campo di azione in termini di compliance a cominciare da un’adeguata struttura organizzativa dove il dialogo fra funzioni di line e quelle di staff consente il raggiungimento del vantaggio competitivo aziendale coniugando sviluppo del business e osservanza delle norme.

Ti ricordo che:

1. per una consulenza specifica in materia di D. Lgs. 231/01, D. Lgs. 231/2007, D. Lgs. 38/2017, Reg. 679/2016 e novellato D. Lgs. 196/03, ISDP 10003, ISO 19600, ISO 27001, ISO 37001 e Rating di legalità;
2. per un’assistenza personalizzata nell’applicazione della normativa cogente e di sistema;
3. per un approccio puntuale nel raggiungimento dei tuoi obiettivi

occorrono competenze trasversali e multidisciplinari.
Visita il mio sito http://www.colaianniconsulting.it e contattami, insieme faremo la differenza.

Marcello Colaianni
Compliance & Mgmt Systems Consultant/Auditor
Certified DPO e ISDP 10003 Auditor
Qualified ISO 37001 Auditor

 

OHSAS 18001, ISO 45001 e l’efficacia esimente della responsabilità amministrativa delle persone giuridiche

Con la pubblicazione della norma UNI ISO 45001 può emergere il dubbio circa la continuità del carattere di esimente della responsabilità amministrativa delle persone giuridiche che, ai sensi del comma 5 dell’art. 30/81/08, caratterizza i modelli di organizzazione aziendale definiti in conformità (…) al British Standard OHSAS 18001:2007.

Il dubbio, peraltro legittimo, si riferisce al carattere di vincolatività della norma tecnica nominativamente richiamata da quella cogente. E a riguardo, si sa, ci si dovrebbe opportunamente attenere allo specifico standard ivi richiamato.

C’è da considerare, tuttavia, che la ISO 45001 andrà a sostituire definitivamente la OHSAS 18001 dal 12 marzo 2021 e, già dal 12 marzo 2020, gli audit dei sistemi di gestione per la salute e sicurezza sul lavoro possono essere eseguiti solo secondo i requisiti della nuova norma.

A parte la digressione, la riflessione che ne deriva è quella di attendersi un aggiornamento del comma 5 con l’esplicito riferimento alla ISO 45001:2018 o, più genericamente, ai sistemi di gestione sulla sicurezza sul lavoro senza riferimenti alla norma ed al suo livello di revisione. In caso contrario, le conseguenze si tradurrebbero nella possibile perdita del carattere di esimente o al mantenimento del modello OHSAS 18001 ai soli fini 231 e l’implementazione del SGSL secondo la norma ISO 45001, per il mantenimento della certificazione.

Nel sottolineare, doverosamente, che l’efficacia esimente non si riferisce ad un sistema di gestione certificato bensì all’adozione di un idoneo modello di organizzazione e gestione efficacemente attuato conformemente alle linee guida per un sistema di gestione della salute e sicurezza sul lavoro, è parere di chi scrive che, in presenza dei suddetti presupposti, il subentro della UNI ISO 45001 alla OHSAS 18001 nulla cambia né richiede particolari o espliciti aggiornamenti normativi.

La ragione è evincibile dal combinato disposto ex art. 2087 cc e art. 15, c. 1 lett. t) del D. Lgs. 81/08 del cc.

L’art. 2087 cc, recita: L’imprenditore è tenuto ad adottare nell’esercizio dell’impresa le misure che, secondo la particolarità del lavoro, l’esperienza e la tecnica, sono necessarie a tutelare l’integrità fisica e la personalità morale dei prestatori di lavoro ponendosi quale norma di chiusura e fornendo gli strumenti per evitare antinomie e vuoti normativi.

In quanto norma di chiusura, in materia di sicurezza sul lavoro si assume che laddove faccia difetto una specifica misura preventiva il datore di lavoro ha l’obbligo di adottare comunque le misure generiche di prudenza, diligenza ed osservanza delle norme tecniche. Qui, il difetto, è rappresentato dall’indicazione ormai obsoleta dello standard 18001.

L’art. 15, a sua volta, al comma 1, lett. t) annovera, fra le misure generali di tutela: la programmazione delle misure ritenute opportune per garantire il miglioramento nel tempo dei livelli di sicurezza, anche attraverso l’adozione di codici di condotta e di buone prassi, così come sono generalmente intese le norme tecniche di sistema.

La giurisprudenza, infine, si è espressa in più occasioni orientandosi negli stessi termini e sentenziando circa il dovere generale di tutela derivante dalla Costituzione, agli artt. 37 e 41, e dall’art. 2087 cc.

Per questi motivi ne consegue che pur rimanendo invariato il dettato di cui al comma 5 dell’art. 30/81/08, il carattere di esimente della responsabilità amministrativa delle persone giuridiche permane, in presenza degli altri presupposti, anche con il subentro della norma UNI ISO 45001.

Alla luce delle suddette riflessioni, ti ricordo che:

• per una consulenza specifica in materia di ISO 45001, D. Lgs. 81/08 e D. Lgs. 231/01;
• per un’assistenza personalizzata nell’applicazione della normativa cogente e volontaria;
• per un approccio puntuale nel raggiungimento dei tuoi obiettivi

occorrono competenze trasversali e multidisciplinari.

Visita il mio sito http://www.colaianniconsulting.it e contattami, insieme faremo la differenza.

Marcello Colaianni
Compliance & Mgmt Systems Consultant/Auditor
Certified DPO e DP Auditor UNI11697 e ISDP 10003 Auditor
Qualified ISO 27001 Auditor e ISO 37001 Lead Auditor

La funzione CONTROLLO DI QUALITA’ per le società di revisione fra ISO 9001 e Regolamento Consob

Le società di revisione certificate ISO 9001, per i Sistemi di gestione per la qualità, devono porre un’attenta distinzione con riferimento alla funzione controllo di qualità soggetta ad una specifica regolamentazione.

Il paragrafo 5.3 della 9001: Ruoli, responsabilità e autorità nell’organizzazione contempla la funzione in discorso all’insegna della consapevolezza di una cultura per la qualità che non deve essere circoscritta al solo Responsabile del sistema di gestione ovvero del Rappresentante della direzione per la qualità, ma diffusa a tutti i livelli e funzioni dell’intera organizzazione.

Ciò premesso, la distinzione – fra i ruoli pertinenti a cui devono essere assegnate specifiche responsabilità e autorità in ambito ISO e quelli i cui compiti sono richiamati dal suddetto regolamento – assume particolare rilevanza in termini di chiarezza e trasparenza di compiti e mansioni per l’organizzazione medesima, per l’organismo di certificazione ed i suoi auditor, per i clienti in sede di verifiche ispettive di qualificazione, per gli organi di controllo e le Autorità competenti.

I margini di manovra, per gli uni e gli altri soggetti, sono chiaramente definiti all’interno delle rispettive norme.

Nella norma ISO 9001, Sistemi di gestione per la qualità – Requisiti, si legge:
L’alta direzione deve assegnare le responsabilità e autorità per:

1. assicurare che il sistema di gestione per la qualità sia conforme ai requisiti della presente norma internazionale;
2. assicurare che i processi stiano producendo gli output attesi;
3. riferire, in particolare all’alta direzione, sulle prestazioni del sistema di gestione per la qualità e sulle opportunità di miglioramento
4. assicurare la promozione della focalizzazione sul cliente nell’ambito dell’intera organizzazione;
5. assicurare che l’integrità del sistema di gestione per la qualità sia mantenuta, quando vengono pianificate e attuate modifiche al sistema stesso.

All’art. 13 del regolamento Consob, in materia di Antiriciclaggio, è disposto che:

1. La funzione di controllo di qualità, nell’ambito dei relativi programmi di monitoraggio, verifica l’osservanza delle disposizioni normative e delle procedure interne in materia di prevenzione e gestione dei rischi di riciclaggio e di finanziamento del terrorismo.
2. In tale ambito, la funzione, tra l’altro, verifica:
   a) il costante rispetto dell’obbligo di adeguata verifica, sia nella fase di instaurazione del rapporto che nello svilupparsi nel tempo della prestazione professionale;
   b) l’effettiva acquisizione e l’ordinata conservazione dei dati, informazioni e documenti prescritti dalla normativa primaria e secondaria;
   c) l’effettivo svolgimento da parte del personale delle attività preordinate alla rilevazione, nell’ambito dell’esecuzione della prestazione professionale, di eventuali elementi di anomalia potenzialmente rilevanti ai fini dell’assolvimento dell’obbligo di segnalazione di operazioni sospette;
   d) l’adeguatezza e l’efficacia delle attività svolte dalla funzione antiriciclaggio e la funzionalità del complessivo sistema dei controlli interni.
3. Gli interventi sono oggetto di pianificazione per consentire che le prestazioni professionali siano sottoposte a verifica in un congruo arco di tempo e che le iniziative siano più frequenti con riferimento agli incarichi caratterizzati da maggiore esposizione ai rischi di riciclaggio e di finanziamento del terrorismo.
4. La funzione di controllo di qualità svolge altresì interventi di follow-up al fine di assicurarsi dell’avvenuta adozione degli interventi correttivi delle carenze e irregolarità riscontrate e della loro idoneità ad evitare analoghe situazioni nel futuro.
5. Le verifiche svolte dalla funzione sono documentate e i relativi atti, ove richiesti, sono prontamente forniti alle Autorità di vigilanza di settore e alla UIF (Unità Interna Finanziaria).
6. La funzione redige inoltre una relazione annuale da sottoporre agli organi sociali, avente ad oggetto compiute informazioni sull’attività svolta e sui relativi esiti.

Siffatta distinzione, nel rispetto delle peculiarità delle singole funzioni, rivela l’importanza dell’organigramma:

1. aziendale, quale rappresentazione grafica della struttura organizzativa dell’azienda,
2. per la Qualità, volto ad indentificare i diversi livelli e funzioni coinvolti nell’implementazione, applicazione e miglioramento continuo del Sistema di gestione,
3. per l’Antiriciclaggio e Lotta al finanziamento del terrorismo, quale presidio organizzativo per i soggetti obbligati al rispetto del D. Lgs. 21 novembre 2007 n. 231 e successive modifiche ed integrazioni.

Qualora, diversamente, la funzione in commento, intesa in termini isoniani, rientrasse nell’ambito del Management Systems Department piuttosto che di una specifica funzione Qualità, il rischio di confusione dei compiti delle due figure verrebbe meno.
In questo caso, infatti, sarebbero più agevolmente distinguibili i diversi ruoli e compiti dei soggetti che, da differenti prospettive, si occupano di “controllo di qualità”.

Ti ricordo che:

1. per una consulenza specifica in materia di Qualità e Antiriciclaggio,
2. per un’assistenza personalizzata nell’applicazione della normativa cogente e di sistema,
3. per un approccio puntuale nel raggiungimento dei tuoi obiettivi,

occorrono competenze trasversali e multidisciplinari.
Visita il mio sito http://www.colaianniconsulting.it e contattami, insieme faremo la differenza.

Marcello Colaianni
Compliance & Mgmt Systems Consultant/Auditor
Certified DPO e DP Auditor UNI11697
Qualified ISO 37001 Auditor

iI CONSULENTE prima del RECRUITING: come prepararsi alla gestione delle risorse umane

L’Organizzazione che cerca la persona giusta per uno specifico ruolo ha, ragionevolmente, le idee chiare sulla risorsa di cui ha bisogno in termini di conoscenze, competenze e abilità.

Altre volte, però, può rivelarsi utile, in attesa di inserire in azienda le più idonee professionalità, ricorrere al Consulente … il che non vuole essere un’alternativa.
I vantaggi che ne derivano possono superare le aspettative e, persino, rivelare all’Organizzazione che quel che cerca è già lì, nella sua struttura.

Cosa intendo dire?

Mi è capitato di assistere un’azienda in cui occorreva affiancare alla vecchia guardia nuove risorse che portassero innovazione, creatività ed un approccio trasversale al problem solving.
Così facendo si è scoperta, da una parte, l’inaspettata disponibilità e flessibilità, di alcuni, a riconvertirsi in nuovi ruoli e posizioni, dall’altra, un rinnovato orgoglio di appartenenza, un miglioramento del clima aziendale e nuove forme di business development.

Altrove, si presentava la necessità di riorganizzare le funzioni di staff allo scopo di evitare inutili sovrapposizioni e, insieme, di assicurarsi circa l’applicazione dei requisiti di cui alla normativa, cogente e volontaria, di riferimento per l’Organizzazione.
L’analisi delle risorse, dei loro curricula e dei loro desiderata, ha permesso di coniugare sapientemente le esigenze aziendali con gli obiettivi personali all’insegna di una nuova politica di valutazione, valorizzazione e formazione del personale.
La parte legal è stata fortemente coinvolta con l’introduzione della funzione Compliance e del Management Systems Department. La funzione Auditing ha esteso il proprio campo di azione. I ruoli ispettivi, come quello del DPO, sono stati internalizzati lasciando interamente a professionalità esterne la composizione dell’OdV. Anche la Comunicazione interna ha preso in carico la gestione di un nuovo house horgan con la pubblicazione della vita, in azienda, della casa madre e delle sue filiali.
A questa rivoluzione copernicana hanno concorso anche le nuove leve.
Il mio contributo è stato quello di Consulente piuttosto che di Business Coach a seconda dei momenti ed esigenze che andavano presentandosi … e non è finita qui.

In altre due situazioni, proprio in previsione di selezionare risorse adeguate, ho ricoperto il ruolo di Temporary manager, dapprima con il compito di sovrintendere, anche operativamente, ai compiti del Servizio di Prevenzione e Protezione e come referente per il Sistema integrato QSA (Qualità, Sicurezza e Ambiente); quindi, in qualità di Responsabile interno del Trattamento dei Dati Personali (RTDP) ex D. Lgs. 196/03, l’attuale Privacy manager.
Successivamente, dal ruolo di Consulente a quello di Mentore il passo è stato breve.

La conclusione è presto detta:
care Organizzazioni, siate fiduciose e ben disposte. Non sempre la soluzione è lontana. Potreste stupirvi e scoprire di avere a portata di mano la risposta alle vostre domande.

Marcello Colaianni
Business, Corporate & Executive Coach
Certified DPO, DP Auditor e ISDP 10003 Auditor
Compliance & Mgmt Systems Consultant/Auditor

 

 

Reg. UE 679/2016 e Reg. UE 910/2014: quali relazioni?

La cosiddetta privacy, o più propriamente la Data Protection, è qualcosa che va ben oltre il GDPR dal quale, per altro, non si può prescindere.

La quantità di norme ad esso correlate è significativo; basti pensare, a solo titolo esemplificativo, al novellato D. Lgs. 196/03, al D. Lgs. 51/2018 che ha recepito la Dir. UE 2016/680, al D. Lgs. 53/2018 in attuazione della Dir. (UE) 2016/681, al D. Lgs. 18 maggio 2018, n. 65 già Dir. UE 2016/1148 o, ancora, al Reg. UE 2019/945 relativo ai sistemi aeromobili senza equipaggio e agli operatori di paesi terzi di sistemi aeromobili senza equipaggio (droni).

In questa sede, in particolare, voglio soffermarmi sulla relazione intrinseca che si pone fra il Reg. UE 679/2016 ed il e Reg. UE 910/2014 in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno.

Che vi sia una relazione indissolubile fra i due regolamenti è facilmente evincibile dal disposto ex art. 5/910 secondo cui il trattamento dei dati a carattere personale è effettuato a norma della direttiva 95/46/CE; direttiva sostituita, appunto dal Reg. UE 679/2016.

Ma cos’è il Regolamento 910/2014?

La finalità principale del Reg. 910/2014, ci ricorda il considerando (2), è quello di rafforzare la fiducia nelle transazioni elettroniche nel mercato interno fornendo una base comune per interazioni elettroniche sicure fra cittadini, imprese e autorità pubbliche, in modo da migliorare l’efficacia dei servizi elettronici pubblici e privati, nonché dell’eBusiness e del commercio elettronico, nell’Unione europea.

E cosa si intende per servizi fiduciari?

È il regolamento stesso a definirli come un servizio elettronico fornito normalmente dietro remunerazione e consistente nei seguenti elementi:

1. creazione, verifica e convalida di firme elettroniche, sigilli elettronici o validazioni temporali elettroniche, servizi elettronici di recapito certificato e certificati relativi a tali servizi; oppure
2. creazione, verifica e convalida di certificati di autenticazione di siti web; o
3.  conservazione di firme, sigilli o certificati elettronici relativi a tali servizi.

E questo è un aspetto di grande rilievo che dà al regolamento grande significatività rafforzando l’importanza e gli effetti, anche in termini giuridici, dei documenti informatici. Ciò lascia ben intendere la potenza di un siffatto strumento, anche di garanzia, nelle relazioni fra privati oltre che con la Pubblica Amministrazione e, nella fattispecie, nei bandi di gara.

È facilmente comprensibile, allora, la relazione di cui si è detto e l’importanza di attenersi ai requisiti in materia di protezione dei dati personali da parte degli attori del regolamento eIDAS (electronic IDentification Authentication and Signature) ovvero dei Prestatori di servizi fiduciari, dell’Organo di vigilanza (AgID) e, ancora, di eventuali altri soggetti quali gli Organismi di valutazione della conformità coinvolti nella attività di verifica sia dei prestatori di servizi fiduciari qualificati sia dei servizi fiduciari qualificati in conformità al regolamento in discorso.

Alla relazione circa il rispetto dei principi sulla protezione dei dati personali nelle attività di cui al regolamento eIDAS, segue la scelta comune del legislatore europeo di regolare la materia ricorrendo allo strumento giuridico più incisivo ed efficace poiché direttamente applicabile ed obbligatorio in tutti i suoi elementi: il Regolamento.
Attenzione però.
Il Reg. UE 679/2016 è stato pubblicato nella GUUE il 4 maggio 2016, è entrato in vigore il 24 maggio 2016 ed ha trovato piena applicazione il 25 maggio 2018.
Il Reg. UE 910/2014 è stato emanato il 23 luglio 2014 e si applica dal 1° luglio 2016 con eccezione per alcuni requisiti.
Inoltre, il Regolamento eIDAS è obbligatorio limitatamente al settore pubblico mentre per i privati costituisce una facoltà.

Un aspetto ancor più interessante è la possibilità, per entrambi i regolamenti, di poter conseguire la certificazione, da parte dei soggetti interessati, delle relative attività; di trattamento nel caso del GDPR e dei servizi fiduciari per le transazioni elettroniche per quanto riguarda il regolamento eIDAS.
Come addetto ai lavori, riguardo alla certificazione delle attività di trattamento personalmente ricorro allo schema (International Scheme for Data Protection) ISDP 10003:2018 che mi dà tutte le rassicurazioni del caso.
Relativamente al Regolamento eIDAS, invece, il riferimento è la norma ETSI EN 319 403: Electronic Signatures and Infrastructures (ESI); Trust Service Provider Conformity Assessment – Requirements for conformity assessment bodies assessing Trust Service Providers.
In entrambi i casi, va da sé, il presupposto è la norma UNI CEI EN ISO/IEC 17065: Valutazione della conformità – Requisiti per organismi che certificano prodotti, processi e servizi.

In conclusione, il ricorso ad una visione d’insieme, con padronanza in una o più specializzazioni, è sicuramente opportuno ed oltremodo necessario, se non in capo ad uno stesso soggetto, nell’ambito di un network in cui professionalità complementari e condivise si attivano coniugando le rispettive aree di competenza e permettendosi la possibilità e la disponibilità al confronto ed alla crescita virtuosa.

Marcello Colaianni
Certified ISDP 10003 Auditor
Certified DPO e DP Auditor UNI11697
Compliance & Mgmt Systems Consultant/Auditor