ANTIRICICLAGGIO e CONSERVAZIONE DEI DOCUMENTI

I soggetti destinatari di cui al D. Lgs 21 novembre 2007, n. 231 e smi in materia di antiriciclaggio – fra cui si ricordano gli intermediari bancari e finanziari, gli altri operatori finanziari e non finanziari, le società di revisione – hanno l’obbligo di conservazione e messa a disposizione dei documenti contenenti dati ed informazioni a fini di antiriciclaggio e antiterrorismo.

Sulla base delle disposizioni emanate dalle rispettive Autorità di vigilanza, quest’obbligo può essere esternalizzato, in presenza di presupposti.

L’eventuale terziarizzazione trova come controparte i Conservatori digitali la cui attività è disciplinata dal DPCM 3 dicembre 2013.

L’esternalizzazione dell’attività di conservazione pone le parti nelle condizioni di formalizzare un accordo che definisca in modo chiaro ed inequivocabile i rispettivi compiti e responsabilità.

Qui, non sfugge al lettore come siffatta ipotesi si traduca per i conservatori digitali in una possibile ASA per la quale è utile porre attenzione sull’assunzione di opportuni comportamenti che si traducono nel conseguimento di certificazioni ovvero attestazioni ad–hoc volte a dimostrare le proprie competenze distintive in ossequio alle differenti disposizioni di legge.

Spaziamo, in questa sede, fra normativa primaria e secondaria e, ancora, fra normativa cogente e volontaria.

Normativa primaria perché gli obblighi di conservazione sono dettati dal D. Lgs. 231/07, normativa secondaria in quanto le disposizioni per la conservazione e la messa a disposizione dei documenti, dei dati e delle informazioni per il contrasto del riciclaggio e del finanziamento del terrorismo sono stabilite dalle Autorità di vigilanza, ovvero dalla Banca d’Italia, dall’Ivass e dalla Consob in relazione alla tipologia dei soggetti destinatari. Si parla, infine, di normativa volontaria con riferimento all’applicazione di idonei modelli di organizzazione e gestione riconducibili:

1. al Sistema di gestione della Responsabilità amministrativa degli enti (SGRA),
2. al Sistema di gestione per prevenzione della corruzione (SGPC),
3. al Sistema di gestione per il contrasto al riciclaggio e lotta al finanziamento del terrorismo (SGAR),
4. al Sistema di gestione della sicurezza delle informazioni (SGSI) e
5. allo Schema di riferimento per la protezione dei dati personali (ISDP 10003).

Il minimo comune denominatore dei suddetti schemi di certificazione, che consiste nella preliminare applicazione dei requisiti di legge, la loro interoperabilità e le interazioni che si pongono con le leggi a cui si rifanno costituiscono l’essenza di un modello integrato che consente all’organizzazione, per il tramite dei presidi coinvolti, di monitorare consapevolmente il rispetto ed osservanza dell’intero impianto normativo di riferimento.

Ti ricordo che:

1. per una consulenza specifica in materia di Organizzazione aziendale, D. Lgs. 231/01, D. Lgs. 231/2007, D. Lgs. 38/2017, GDPR e novellato D. Lgs. 196/03, ISDP 10003, ISO 27001 e ISO 37001;
2. per un’assistenza personalizzata nell’applicazione della normativa cogente e volontaria;
3. per un approccio puntuale nel raggiungimento dei tuoi obiettivi

occorrono competenze trasversali e multidisciplinari.
Visita il mio sito http://www.colaianniconsulting.it e contattami, insieme faremo la differenza.

Marcello Colaianni
Compliance & Mgmt Systems Consultant/Auditor
Certified DPO e ISDP 10003 Auditor
Qualified ISO 37001 Auditor

Gli MTO fra vincoli ed opportunità

I Money Transfer Operator (MTO) rientrano nel novero dei soggetti obbligati all’osservanza della legislazione Antiriciclaggio al pari, fra gli altri, dei professionisti, delle società di revisione, delle imprese di assicurazione, degli istituti di moneta elettronica, dei prestatori di servizi relativi all’utilizzo di moneta virtuale o ancora di servizi di portafoglio digitali.

La particolarità del loro core business, l’effettuazione di operazioni di trasferimento verso paesi esteri di flussi finanziari, impone frequenti controlli da parte dell’Autorità di vigilanza.

La presenza dei molteplici paletti che li riguardano suggeriscono l’adozione di una serie di presidi organizzativi che, insieme all’adeguata applicazione della normativa cogente, sia primaria che secondaria, esaltino l’assunzione di comportamenti virtuosi e lungimiranti attraverso il conseguimento di certificazioni o attestazioni di idonei modelli di organizzazione e gestione (MOG).

È proprio su questi temi che le opportunità si sprecano potendo orientarsi verso l’implementazione di:

• Sistemi di gestione per l’Antiriciclaggio (SGAR),
• Sistemi di gestione per l’Anticorruzione (SGAC),
• Sistemi di gestione per la Responsabilità amministrativa degli Enti (SGRA),
• Sistemi di gestione della sicurezza delle informazioni (SGSI),
• Meccanismi di certificazione dei trattamenti dei dati personali (ISDP).

Del tutto coerenti alle norme di legge, sono fra loro interoperabili attraverso il sistema High Level Structure e costituiscono, tutte, evidenza oggettiva per un Rating di legalità a tre stelle.

Le relazioni sono evidenti.

Innanzitutto ognuna delle norme tecniche prevede il soddisfacimento dei requisiti di legge. Inoltre, per le organizzazioni di piccole dimensioni in cui è assente, per esempio, un’articolazione  interna fondata su una pluralità di centri decisionali, sia la normativa secondaria sia quella di sistema contemplano la possibilità di esternalizzare la funzione antiriciclaggio così come quella per la prevenzione della corruzione con la possibilità, per il compliance officer, di avvalersi di consulenti per l’adozione di un efficace MOG 231.

Le organizzazioni in parola, in aggiunta, devono soddisfare i vari requisiti mettendo in sapiente relazione le suddette normative ed evitando che la singola ottemperanza produca una non conformità con riferimento alle altre disposizioni.

Per esempio, all’art. 3/231/2007, comma 2, si legge: “I sistemi e le procedure adottati ai sensi del comma 1 rispettano le prescrizioni e garanzie stabilite dal presente decreto e dalla normativa in materia di protezione dei dati personali” il che pone i soggetti destinatari a circoscrivere la raccolta di informazioni e dati, per il principio di minimizzazione, a quanto è necessario per rispettare le prescrizioni della normativa di contrasto al riciclaggio e finanziamento del terrorismo, senza alcuna autorizzazione ad altri usi. Ciò vale, indifferentemente, per il destinatario così come per la rete distributiva e i mediatori.

L’Antiriciclaggio rientra fra i reati 231 essendo contemplato all’art. 25-octies. L’osservanza del D. Lgs. 231/01, oltre che del D. Lgs. 231/2007, si rende quindi assolutamente necessario. Qui, è prevista l’istituzione dell’Organismo di Vigilanza (OdV) che può  rappresentare l’organo con funzioni di controllo richiamato dal Provvedimento della Banca d’Italia.

E a proposito di 231/01 basti l’elenco dei reati per rendersi conto di quanto sia utile, ed opportuno, estendere il proprio campo di azione in termini di compliance a cominciare da un’adeguata struttura organizzativa dove il dialogo fra funzioni di line e quelle di staff consente il raggiungimento del vantaggio competitivo aziendale coniugando sviluppo del business e osservanza delle norme.

Ti ricordo che:

1. per una consulenza specifica in materia di D. Lgs. 231/01, D. Lgs. 231/2007, D. Lgs. 38/2017, Reg. 679/2016 e novellato D. Lgs. 196/03, ISDP 10003, ISO 19600, ISO 27001, ISO 37001 e Rating di legalità;
2. per un’assistenza personalizzata nell’applicazione della normativa cogente e di sistema;
3. per un approccio puntuale nel raggiungimento dei tuoi obiettivi

occorrono competenze trasversali e multidisciplinari.
Visita il mio sito http://www.colaianniconsulting.it e contattami, insieme faremo la differenza.

Marcello Colaianni
Compliance & Mgmt Systems Consultant/Auditor
Certified DPO e ISDP 10003 Auditor
Qualified ISO 37001 Auditor

 

OHSAS 18001, ISO 45001 e l’efficacia esimente della responsabilità amministrativa delle persone giuridiche

Con la pubblicazione della norma UNI ISO 45001 può emergere il dubbio circa la continuità del carattere di esimente della responsabilità amministrativa delle persone giuridiche che, ai sensi del comma 5 dell’art. 30/81/08, caratterizza i modelli di organizzazione aziendale definiti conformemente […] al British Standard OHSAS 18001:2007.
Il dubbio, peraltro legittimo, si riferisce al carattere di vincolatività della norma tecnica nominativamente richiamata da quella cogente.

La riflessione che ne deriva è quella di attendersi un aggiornamento del comma 5 dell’art. 30/81/08 con l’esplicito riferimento alla ISO 45001:2018 o, più genericamente, ai sistemi di gestione per la salute e sicurezza sul lavoro senza riferimenti alla norma ed al suo livello di revisione.
In caso contrario, le conseguenze si potrebbero tradurre nella possibile perdita del carattere di esimente o nel mantenimento del modello OHSAS 18001 ai soli fini 231 (2001) e l’implementazione del SGSL, secondo la norma ISO 45001, per il conseguimento o mantenimento della certificazione.

Nel sottolineare, doverosamente, che l’efficacia esimente non si riferisce ad un sistema di gestione certificato bensì all’adozione di un idoneo modello di organizzazione e gestione efficacemente attuato conformemente alle linee guida per un sistema di gestione della salute e sicurezza sul lavoro, è parere di chi scrive che il subentro della UNI ISO 45001 alla OHSAS 18001 nulla cambia né richiede particolari o espliciti aggiornamenti normativi.

La ragione è evincibile dal combinato disposto ex artt. 2087 cc e 15, c. 1 lett. t) del D. Lgs. 81/08.

• L’art. 2087 cc, recita: “L’imprenditore è tenuto ad adottare nell’esercizio dell’impresa le misure che, secondo la particolarità del lavoro, l’esperienza e la tecnica, sono necessarie a tutelare l’integrità fisica e la personalità morale dei prestatori di lavoro [Cost. 37, 41]”  ponendosi quale norma di chiusura e fornendo gli strumenti per evitare antinomie e vuoti normativi.
  In quanto tale, in materia di sicurezza sul lavoro, si assume che laddove faccia difetto una specifica misura preventiva il datore di lavoro ha l’obbligo di adottare comunque le misure generiche di prudenza, diligenza ed osservanza delle norme tecniche.
• L’art. 15, allo stesso modo, al c. 1 lett. t), annovera, fra le misure generali di tutela: “la programmazione delle misure ritenute opportune per garantire il miglioramento nel tempo dei livelli di sicurezza, anche attraverso l’adozione di codici di condotta e di buone prassi“, così come sono generalmente intese le norme tecniche di sistema.
• La giurisprudenza, infine, si è espressa in più occasioni orientandosi negli stessi termini e sentenziando circa il dovere generale di tutela derivante dalla Costituzione e dall’art. 2087 del codice civile.
  

Per i suddetti motivi, quindi, il riferimento alla OHSAS 18001, tutt’ora inserito al comma 5 dell’art. 30/81/08, é da intendersi esteso alla nuova norma ISO 45001 quale linea guida per un sistema di gestione della salute e sicurezza sul lavoro a cui riferirsi per l’implementazione di un modello di organizzazione e di gestione idoneo ad avere efficacia esimente della responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni.

Ti ricordo che:

1. per una consulenza specifica in materia di ISO 45001, D. Lgs. 81/08 e D. Lgs. 231/01;
2. per un’assistenza personalizzata nell’applicazione della normativa cogente e di sistema;
3. per un approccio puntuale nel raggiungimento dei tuoi obiettivi

occorrono competenze trasversali e multidisciplinari.
Visita il mio sito http://www.colaianniconsulting.it e contattami, insieme faremo la differenza.

Marcello Colaianni
Compliance & Mgmt Systems Consultant/Auditor
Certified DPO e DP Auditor UNI11697
Qualified ISO 37001 Auditor

La funzione CONTROLLO DI QUALITA’ per le società di revisione fra ISO 9001 e Regolamento Consob

Le società di revisione certificate ISO 9001, per i Sistemi di gestione per la qualità, devono porre un’attenta distinzione con riferimento alla funzione controllo di qualità soggetta ad una specifica regolamentazione.

Il paragrafo 5.3 della 9001: Ruoli, responsabilità e autorità nell’organizzazione contempla la funzione in discorso all’insegna della consapevolezza di una cultura per la qualità che non deve essere circoscritta al solo Responsabile del sistema di gestione ovvero del Rappresentante della direzione per la qualità, ma diffusa a tutti i livelli e funzioni dell’intera organizzazione.

Ciò premesso, la distinzione – fra i ruoli pertinenti a cui devono essere assegnate specifiche responsabilità e autorità in ambito ISO e quelli i cui compiti sono richiamati dal suddetto regolamento – assume particolare rilevanza in termini di chiarezza e trasparenza di compiti e mansioni per l’organizzazione medesima, per l’organismo di certificazione ed i suoi auditor, per i clienti in sede di verifiche ispettive di qualificazione, per gli organi di controllo e le Autorità competenti.

I margini di manovra, per gli uni e gli altri soggetti, sono chiaramente definiti all’interno delle rispettive norme.

Nella norma ISO 9001, Sistemi di gestione per la qualità – Requisiti, si legge:
L’alta direzione deve assegnare le responsabilità e autorità per:

1. assicurare che il sistema di gestione per la qualità sia conforme ai requisiti della presente norma internazionale;
2. assicurare che i processi stiano producendo gli output attesi;
3. riferire, in particolare all’alta direzione, sulle prestazioni del sistema di gestione per la qualità e sulle opportunità di miglioramento
4. assicurare la promozione della focalizzazione sul cliente nell’ambito dell’intera organizzazione;
5. assicurare che l’integrità del sistema di gestione per la qualità sia mantenuta, quando vengono pianificate e attuate modifiche al sistema stesso.

All’art. 13 del regolamento Consob, in materia di Antiriciclaggio, è disposto che:

1. La funzione di controllo di qualità, nell’ambito dei relativi programmi di monitoraggio, verifica l’osservanza delle disposizioni normative e delle procedure interne in materia di prevenzione e gestione dei rischi di riciclaggio e di finanziamento del terrorismo.
2. In tale ambito, la funzione, tra l’altro, verifica:
   a) il costante rispetto dell’obbligo di adeguata verifica, sia nella fase di instaurazione del rapporto che nello svilupparsi nel tempo della prestazione professionale;
   b) l’effettiva acquisizione e l’ordinata conservazione dei dati, informazioni e documenti prescritti dalla normativa primaria e secondaria;
   c) l’effettivo svolgimento da parte del personale delle attività preordinate alla rilevazione, nell’ambito dell’esecuzione della prestazione professionale, di eventuali elementi di anomalia potenzialmente rilevanti ai fini dell’assolvimento dell’obbligo di segnalazione di operazioni sospette;
   d) l’adeguatezza e l’efficacia delle attività svolte dalla funzione antiriciclaggio e la funzionalità del complessivo sistema dei controlli interni.
3. Gli interventi sono oggetto di pianificazione per consentire che le prestazioni professionali siano sottoposte a verifica in un congruo arco di tempo e che le iniziative siano più frequenti con riferimento agli incarichi caratterizzati da maggiore esposizione ai rischi di riciclaggio e di finanziamento del terrorismo.
4. La funzione di controllo di qualità svolge altresì interventi di follow-up al fine di assicurarsi dell’avvenuta adozione degli interventi correttivi delle carenze e irregolarità riscontrate e della loro idoneità ad evitare analoghe situazioni nel futuro.
5. Le verifiche svolte dalla funzione sono documentate e i relativi atti, ove richiesti, sono prontamente forniti alle Autorità di vigilanza di settore e alla UIF (Unità Interna Finanziaria).
6. La funzione redige inoltre una relazione annuale da sottoporre agli organi sociali, avente ad oggetto compiute informazioni sull’attività svolta e sui relativi esiti.

Siffatta distinzione, nel rispetto delle peculiarità delle singole funzioni, rivela l’importanza dell’organigramma:

1. aziendale, quale rappresentazione grafica della struttura organizzativa dell’azienda,
2. per la Qualità, volto ad indentificare i diversi livelli e funzioni coinvolti nell’implementazione, applicazione e miglioramento continuo del Sistema di gestione,
3. per l’Antiriciclaggio e Lotta al finanziamento del terrorismo, quale presidio organizzativo per i soggetti obbligati al rispetto del D. Lgs. 21 novembre 2007 n. 231 e successive modifiche ed integrazioni.

Qualora, diversamente, la funzione in commento, intesa in termini isoniani, rientrasse nell’ambito del Management Systems Department piuttosto che di una specifica funzione Qualità, il rischio di confusione dei compiti delle due figure verrebbe meno.
In questo caso, infatti, sarebbero più agevolmente distinguibili i diversi ruoli e compiti dei soggetti che, da differenti prospettive, si occupano di “controllo di qualità”.

Ti ricordo che:

1. per una consulenza specifica in materia di Qualità e Antiriciclaggio,
2. per un’assistenza personalizzata nell’applicazione della normativa cogente e di sistema,
3. per un approccio puntuale nel raggiungimento dei tuoi obiettivi,

occorrono competenze trasversali e multidisciplinari.
Visita il mio sito http://www.colaianniconsulting.it e contattami, insieme faremo la differenza.

Marcello Colaianni
Compliance & Mgmt Systems Consultant/Auditor
Certified DPO e DP Auditor UNI11697
Qualified ISO 37001 Auditor

iI CONSULENTE prima del RECRUITING: come prepararsi alla gestione delle risorse umane

L’Organizzazione che cerca la persona giusta per uno specifico ruolo ha, ragionevolmente, le idee chiare sulla risorsa di cui ha bisogno in termini di conoscenze, competenze e abilità.

Altre volte, però, può rivelarsi utile, in attesa di inserire in azienda le più idonee professionalità, ricorrere al Consulente … il che non vuole essere un’alternativa.
I vantaggi che ne derivano possono superare le aspettative e, persino, rivelare all’Organizzazione che quel che cerca è già lì, nella sua struttura.

Cosa intendo dire?

Mi è capitato di assistere un’azienda in cui occorreva affiancare alla vecchia guardia nuove risorse che portassero innovazione, creatività ed un approccio trasversale al problem solving.
Così facendo si è scoperta, da una parte, l’inaspettata disponibilità e flessibilità, di alcuni, a riconvertirsi in nuovi ruoli e posizioni, dall’altra, un rinnovato orgoglio di appartenenza, un miglioramento del clima aziendale e nuove forme di business development.

Altrove, si presentava la necessità di riorganizzare le funzioni di staff allo scopo di evitare inutili sovrapposizioni e, insieme, di assicurarsi circa l’applicazione dei requisiti di cui alla normativa, cogente e volontaria, di riferimento per l’Organizzazione.
L’analisi delle risorse, dei loro curricula e dei loro desiderata, ha permesso di coniugare sapientemente le esigenze aziendali con gli obiettivi personali all’insegna di una nuova politica di valutazione, valorizzazione e formazione del personale.
La parte legal è stata fortemente coinvolta con l’introduzione della funzione Compliance e del Management Systems Department. La funzione Auditing ha esteso il proprio campo di azione. I ruoli ispettivi, come quello del DPO, sono stati internalizzati lasciando interamente a professionalità esterne la composizione dell’OdV. Anche la Comunicazione interna ha preso in carico la gestione di un nuovo house horgan con la pubblicazione della vita, in azienda, della casa madre e delle sue filiali.
A questa rivoluzione copernicana hanno concorso anche le nuove leve.
Il mio contributo è stato quello di Consulente piuttosto che di Business Coach a seconda dei momenti ed esigenze che andavano presentandosi … e non è finita qui.

In altre due situazioni, proprio in previsione di selezionare risorse adeguate, ho ricoperto il ruolo di Temporary manager, dapprima con il compito di sovrintendere, anche operativamente, ai compiti del Servizio di Prevenzione e Protezione e come referente per il Sistema integrato QSA (Qualità, Sicurezza e Ambiente); quindi, in qualità di Responsabile interno del Trattamento dei Dati Personali (RTDP) ex D. Lgs. 196/03, l’attuale Privacy manager.
Successivamente, dal ruolo di Consulente a quello di Mentore il passo è stato breve.

La conclusione è presto detta:
care Organizzazioni, siate fiduciose e ben disposte. Non sempre la soluzione è lontana. Potreste stupirvi e scoprire di avere a portata di mano la risposta alle vostre domande.

Marcello Colaianni
Business, Corporate & Executive Coach
Certified DPO, DP Auditor e ISDP 10003 Auditor
Compliance & Mgmt Systems Consultant/Auditor

 

 

Reg. UE 679/2016 e Reg. UE 910/2014: quali relazioni?

La cosiddetta privacy, o più propriamente la Data Protection, è qualcosa che va ben oltre il GDPR dal quale, per altro, non si può prescindere.

La quantità di norme ad esso correlate è significativo; basti pensare, a solo titolo esemplificativo, al novellato D. Lgs. 196/03, al D. Lgs. 51/2018 che ha recepito la Dir. UE 2016/680, al D. Lgs. 53/2018 in attuazione della Dir. (UE) 2016/681, al D. Lgs. 18 maggio 2018, n. 65 già Dir. UE 2016/1148 o, ancora, al Reg. UE 2019/945 relativo ai sistemi aeromobili senza equipaggio e agli operatori di paesi terzi di sistemi aeromobili senza equipaggio (droni).

In questa sede, in particolare, voglio soffermarmi sulla relazione intrinseca che si pone fra il Reg. UE 679/2016 ed il e Reg. UE 910/2014 in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno.

Che vi sia una relazione indissolubile fra i due regolamenti è facilmente evincibile dal disposto ex art. 5/910 secondo cui il trattamento dei dati a carattere personale è effettuato a norma della direttiva 95/46/CE; direttiva sostituita, appunto dal Reg. UE 679/2016.

Ma cos’è il Regolamento 910/2014?

La finalità principale del Reg. 910/2014, ci ricorda il considerando (2), è quello di rafforzare la fiducia nelle transazioni elettroniche nel mercato interno fornendo una base comune per interazioni elettroniche sicure fra cittadini, imprese e autorità pubbliche, in modo da migliorare l’efficacia dei servizi elettronici pubblici e privati, nonché dell’eBusiness e del commercio elettronico, nell’Unione europea.

E cosa si intende per servizi fiduciari?

È il regolamento stesso a definirli come un servizio elettronico fornito normalmente dietro remunerazione e consistente nei seguenti elementi:

1. creazione, verifica e convalida di firme elettroniche, sigilli elettronici o validazioni temporali elettroniche, servizi elettronici di recapito certificato e certificati relativi a tali servizi; oppure
2. creazione, verifica e convalida di certificati di autenticazione di siti web; o
3.  conservazione di firme, sigilli o certificati elettronici relativi a tali servizi.

E questo è un aspetto di grande rilievo che dà al regolamento grande significatività rafforzando l’importanza e gli effetti, anche in termini giuridici, dei documenti informatici. Ciò lascia ben intendere la potenza di un siffatto strumento, anche di garanzia, nelle relazioni fra privati oltre che con la Pubblica Amministrazione e, nella fattispecie, nei bandi di gara.

È facilmente comprensibile, allora, la relazione di cui si è detto e l’importanza di attenersi ai requisiti in materia di protezione dei dati personali da parte degli attori del regolamento eIDAS (electronic IDentification Authentication and Signature) ovvero dei Prestatori di servizi fiduciari, dell’Organo di vigilanza (AgID) e, ancora, di eventuali altri soggetti quali gli Organismi di valutazione della conformità coinvolti nella attività di verifica sia dei prestatori di servizi fiduciari qualificati sia dei servizi fiduciari qualificati in conformità al regolamento in discorso.

Alla relazione circa il rispetto dei principi sulla protezione dei dati personali nelle attività di cui al regolamento eIDAS, segue la scelta comune del legislatore europeo di regolare la materia ricorrendo allo strumento giuridico più incisivo ed efficace poiché direttamente applicabile ed obbligatorio in tutti i suoi elementi: il Regolamento.
Attenzione però.
Il Reg. UE 679/2016 è stato pubblicato nella GUUE il 4 maggio 2016, è entrato in vigore il 24 maggio 2016 ed ha trovato piena applicazione il 25 maggio 2018.
Il Reg. UE 910/2014 è stato emanato il 23 luglio 2014 e si applica dal 1° luglio 2016 con eccezione per alcuni requisiti.
Inoltre, il Regolamento eIDAS è obbligatorio limitatamente al settore pubblico mentre per i privati costituisce una facoltà.

Un aspetto ancor più interessante è la possibilità, per entrambi i regolamenti, di poter conseguire la certificazione, da parte dei soggetti interessati, delle relative attività; di trattamento nel caso del GDPR e dei servizi fiduciari per le transazioni elettroniche per quanto riguarda il regolamento eIDAS.
Come addetto ai lavori, riguardo alla certificazione delle attività di trattamento personalmente ricorro allo schema (International Scheme for Data Protection) ISDP 10003:2018 che mi dà tutte le rassicurazioni del caso.
Relativamente al Regolamento eIDAS, invece, il riferimento è la norma ETSI EN 319 403: Electronic Signatures and Infrastructures (ESI); Trust Service Provider Conformity Assessment – Requirements for conformity assessment bodies assessing Trust Service Providers.
In entrambi i casi, va da sé, il presupposto è la norma UNI CEI EN ISO/IEC 17065: Valutazione della conformità – Requisiti per organismi che certificano prodotti, processi e servizi.

In conclusione, il ricorso ad una visione d’insieme, con padronanza in una o più specializzazioni, è sicuramente opportuno ed oltremodo necessario, se non in capo ad uno stesso soggetto, nell’ambito di un network in cui professionalità complementari e condivise si attivano coniugando le rispettive aree di competenza e permettendosi la possibilità e la disponibilità al confronto ed alla crescita virtuosa.

Marcello Colaianni
Certified ISDP 10003 Auditor
Certified DPO e DP Auditor UNI11697
Compliance & Mgmt Systems Consultant/Auditor

ISO 27001 e ISO 27701? Non Conformi per la certificazione secondo il GDPR.

Persistere nell’affermazione per cui una certificazione ISO 27001 o ISO 27701 sia idonea per dimostrare la conformità al presente regolamento dei trattamenti effettuati dai titolari del trattamento e dai responsabili del trattamento è assolutamente pericoloso e non corrispondente alla realtà.

E per chi non è un addetto ai lavori, in  particolare, è utile conoscerne le ragioni:

• Le norme della famiglia ISO 27000 fanno riferimento alla sicurezza delle informazioni mentre
  a) il regolamento Ue fa riferimento alla protezione dei dati personali e
  b) i dati personali e le informazioni non sono sinonimi; i dati ne fanno parte ma sono altro.
  E quand’anche si trattasse di sicurezza delle informazioni sulla privacy, è il caso di ricordare che i concetti di “privacy” e di “dati personali” sono del tutto differenti fra loro. Ecco l’occasione giusta per discernere.
  Ergo ->  sicurezza delle informazioni versus protezione dei dati personali

• Le suddette norme sono fondate sulla UNI CEI EN ISO/IEC 17021, Requisiti per gli organismi che forniscono audit e certificazione di sistemi di gestione, mentre
  – ) l’art. 43, paragrafo 1, lett. b) del Reg. UE 679/2016 recita: Gli Stati membri garantiscono che tali organismi di certificazione (OdC) siano accreditati (…) conformemente alla norma EN ISO/IEC 17065/2012 (…).
  Questo significa che un’impresa, o qualsiasi altra organizzazione, se vuole veramente dimostrare che i suoi trattamenti sono conformi al GDPR, deve assicurarsi di:
  a) fare riferimento ad una norma di certificazione di Prodotti, processi e servizi e non di Sistemi di gestione, fondata quindi sulla ISO 17065;
  b) rivolgersi ad Organismi di certificazione accreditati Accredia secondo la norma UNI CEI EN ISO/IEC 17065 e non UNI CEI EN ISO/IEC 17021.
  Ergo: UNI CEI EN ISO/IEC 17021 versus UNI CEI EN ISO/IEC 17065

• Le suddette norme hanno, come obiettivo, la tutela dell’organizzazione nella gestione delle informazioni, e fra queste, dei dati mentre
  – ) il regolamento ha come obiettivo, la tutela dei diritti e delle libertà delle persone fisiche, ovvero degli interessati, nel trattamento dei loro dati personali.
  Ergo: tutela dell’organizzazione versus tutela degli interessati

• È impensabile assimilare la certificazione di sistemi in conformità alla ISO 27001, e per estensione alla ISO 27701, ai meccanismi di certificazione ex art. 42 del GDPR
  – ) per il semplice motivo per cui Gli Stati membri, le autorità di controllo, il comitato e la Commissione incoraggiano, in particolare a livello di Unione, l’istituzione di meccanismi di certificazione della protezione dei dati.
  Meccanismi di certificazione, al plurale, lasciando volontariamente la possibilità di certificare molteplici schemi di riferimento del tutto aderenti, però, al dettato ex art. 43 riguardo, in particolare, alle caratteristiche dello standard ed al soddisfacimento dei requisiti da parte degli OdC.
  Ergo: ISO 27701 versus differenti meccanismi di certificazione

• Leggo, da più parti, che non c’è alternativa al ricorso alla norma ISO 27701 per dimostrare la conformità del sistema di gestione di un’organizzazione ai requisiti del GDPR e che l’ultima parola spetti all’European Data Protection Board che potrà dichiarare valida o meno la certificazione secondo l’estensione ISO/IEC 27701:2019 in quanto questa è l’unica strada da percorrere per mantenere uno dei principi cardine sui cui si basa il GDPR. E invece:
  a) sono molto perplesso sul fatto che l’EDPB si esprima nei suddetti termini se non confermando quanto già stabilito nel regolamento. Inoltre
  b) l’ipotetica, e quanto mai improbabile, adozione della ISO 27701 come norma di riferimento, o accettata, per la certificazione conformemente al GDPR presenterebbe grossi problemi in termini di sigilli e marchi di protezione dei dati in quanto non contemplati dalla ISO 17021 ma dalla ISO 17065
  c) sono a conoscenza di uno schema internazionale per la valutazione della conformità al Regolamento europeo 2016/679 che ha superato tutte le fasi di verifica da parte della Commissione europea: è l’ISDP 10003:2008 disponibile gratuitamente in lingua italiana, inglese e tedesca.
  Ergo: ISO 27701 versus ISDP 10003

Per ulteriori delucidazioni:
https://www.linkedin.com/feed/update/urn:li:activity:6612949169403424768/

E non solo.
Apro una parentesi per dire che so di leggende metropolitane secondo cui è possibile anche la certificazione secondo le prassi 43.1 e 43.2 dell’UNI.
Anche in questo caso, un’eventuale certificazione sarebbe out of scope e impugnabile da chicchessia.

Marcello Colaianni
Qualified ISO 27001 Auditor
Certified DP ISDP 10003 Auditor
Certified DPO e DP Auditor UNI 11697
Compliance & Mgmt Systems Consultant/Auditor

l’INFORMATICA GIURIDICA: una nuova materia che risale al 17° secolo.

Sono sempre piu’ numerosi i corsi proposti e volti a sensibilizzare i giovani professionisti, e non solo, a tematiche riguardanti gli aspetti giuridici correlati alle nuove tecnologie.

Sono ambiti che riguardano tutto l’alveo delle norme riconducibili al Codice dell’amministrazione digitale di cui al D. Lgs. 82/2005 fino al vigente Regolamento 910/2014 in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno.
Sono le norme riguardanti il crimine telematico e la sfera del diritto penale dell’informatica, della sicurezza informatica e della digital forensics che, nata dalla fusione della computer forensics e del network forensics, si occupa della preservazione, identificazione e studio delle informazioni contenute nei computer e nei sistemi informativi in generale con lo scopo di evidenziare l’esistenza di prove utili allo svolgimento dell’attività investigativa.
È  la disciplina sulla tutela dei dati personali in senso  lato di cui al Reg. (UE) 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati ed al novellato D. Lgs. 196/03, quella del commercio elettronico e dei contratti informatici, e’ la normativa sulle Online Dispute Resolution (ODR) ex Reg. UE 524/2013. È quanto:

• al D. Lgs. 51/2018 in attuazione della direttiva (UE) 2016/680 relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati;
• al D. Lgs. 53/2018 in attuazione della direttiva (UE) 2016/681 sull’uso dei dati del codice di prenotazione (PNR) a fini di prevenzione, accertamento, indagine e azione penale nei confronti dei reati di terrorismo e dei reati gravi e disciplina dell’obbligo per i vettori di comunicare i dati relativi alle persone trasportate;
• al D. Lgs. 65/2018 in attuazione della direttiva (UE) 2016/1148 recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell’Unione;
• al Reg. (UE) 2018/1807 relativo a un quadro applicabile alla libera circolazione dei dati non personali nell’Unione europea;
• alla Proposta di Direttiva del Parlamento europeo e del Consiglio sul diritto d’autore nel mercato unico digitale;
• al Reg. (UE) 2019/881 relativo all’ENISA, l’Agenzia dell’Unione europea per la cibersicurezza, e alla certificazione della cibersicurezza per le tecnologie dell’informazione e della comunicazione …
  

… e altro ancora.

È l’INFORMATICA GIURIDICA che, per utilizzare la definizione formulata dall’ANDIG nel convegno del 28 giugno 2005 (v. Prof. Avv. Marco Mancarella: Lineamenti di informatica giuridica), <<è la disciplina giuridica, unitaria ed autonoma, che ha per oggetto il diritto dell’informatica che studia le leggi che regolano l’uso del computer e l’informatica del diritto che studia le ragioni e le modalità dell’influenza che l’informatica può avere sull’evoluzione del diritto>>.

È una materia che risale al 17° secolo per chi ne attribuisce la paternità a Gottfried Leibniz o più recentemente, al 1949, allo studioso americano Lee Loevinger che con la sua GIURIMETRIA ha voluto indicare un modo inusuale di accostarsi al diritto coniugando l’uso dei metodi dell’informatica nelle attività proprie del diritto.

È una materia dalle diverse sfaccettature così longeva e così attuale e sempre di estrema attualità ed interesse per tutti coloro che, partendo dal proprio background,  decidono di avvicinarvisi per sviluppare le proprie expertises in un settore dai significativi margini di crescita e sviluppo professionale.

Marcello Colaianni
Certified DPO e DP Auditor UNI 11697
Certified DP Auditor ISDP 10003:2018 Audit Scheme
Compliance & Management Systems Consultant/Auditor

il DPO: non solo Data Protection Officer ma anche Digital Preservation Officer

Sono sempre stato un accanito sostenitore circa l’appropriato utilizzo dei termini, e relativi acronimi, nel riferirmi alle figure professionali richiamate nelle diverse discipline giuridiche.

Ne è un esempio eclatante la sigla D.P.O. per indicare il Data Protection Officer di cui al GDPR, non il Data Privacy Officer che, al più, è una figura riconosciuta de facto a supporto delle organizzazioni con compiti manageriali o con ruoli consulenziali.

Una posizione del tutto coerente con le linee guida del WP 243 del 5 aprile 2017 sui responsabili della protezione dei dati secondo cui: <<Nulla osta a che un’azienda o un ente, quando non sia soggetta all’obbligo di designare un RPD e non intenda procedere a tale designazione su base volontaria, ricorra comunque a personale o consulenti esterni incaricati di incombenze relative alla protezione dei dati personali. In tal caso è fondamentale garantire che non vi siano ambiguità in termini di denominazione, status e compiti di queste figure; è dunque essenziale che in tutte le comunicazioni interne all’azienda e anche in quelle esterne (con l’autorità di controllo, gli interessati, i soggetti esterni in genere), queste figure o consulenti non siano indicati con la denominazione di  responsabile per la protezione dei dati (RPD).
Considerazioni che valgono anche per i Chief Privacy Officers (CPO) o altri professionisti in materia di privacy già operanti presso alcune aziende, che non sempre e non necessariamente si conformano ai requisiti fissati nel regolamento per quanto riguarda, per esempio, le risorse disponibili o le salvaguardie della loro indipendenza e che, in tal caso, non possono essere considerati e denominati “RPD”>>.

Con la stessa fermezza, tuttavia, trovo del tutto ragionevole ed opportuno riferirsi, con lo stesso acronimo, anche a un’altra figura professionale che dal Data Protection Officer si differenzia per il contesto in cui opera sebbene i margini di collaborazione, in relazione ai rispettivi compiti, sono del tutto evincibili. Mi riferisco al Digital Preservation Officer, ovvero al Responsabile della conservazione digitale dei documenti.

Disciplinato dal DPCM 3 dicembre 2013, il Digital Preservation Officer svolge una molteplicità di attività inerenti l’implementazione di un sistema di conservazione predisponendo il relativo manuale di cui cura l’aggiornamento periodico tenendo conto degli aspetti normativi, organizzativi, procedurali e tecnologici.

<<Il responsabile della conservazione opera d’intesa con il responsabile del trattamento dei dati personali, con il responsabile della sicurezza e con il responsabile dei sistemi informativi (…)>> e, evidentemente, collabora con il responsabile della protezione dei dati.

È una figura che opera in ambito digitale affiancato dall’Innovation Manager, dal Chief Digital Officer, dal Responsabile della Transazione Digitale … all’insegna di una sempre maggiore propensione al ricorso al digitale da parte di privati e pubbliche amministrazioni perché anche nel digitale, come in altri contesti, c’è bisogno di persone che sappiano guidare e motivare gestendo il rischio e l’errore perché lo sbaglio nell’azione è sicuramente meglio del non agire affatto.

Marcello Colaianni
Certified DPO e DP Auditor UNI 11697
Certified DP Auditor ISDP 10003:2018 Audit Scheme
Compliance & Management Systems Consultant/Auditor

“Persone autorizzate” e “Soggetti designati” nella protezione dei dati personali.

L’introduzione, nel novellato D. Lgs. 196/03, dell’art. 2-quaterdecies: Attribuzione di funzioni e compiti a soggetti designati integra il disposto di cui all’art. 29 del GDPR.
Dalla comparazione fra il Reg. UE 679/2016 ed il nuovo Codice Privacy si riscontrano, però, delle differenze che suggeriscono qualche chiarimento.

Art. 29/679: Trattamento sotto l’autorità del titolare del trattamento o del responsabile del trattamento:
Il responsabile del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del titolare del trattamento, che abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri.

Art. 2-quaterdecies/196: Attribuzione di funzioni e compiti a soggetti designati
Il titolare o il responsabile del trattamento possono prevedere, sotto la propria responsabilità e nell’ambito del proprio assetto organizzativo, che specifici compiti e funzioni connessi al trattamento di dati personali siano attribuiti a persone fisiche, espressamente designate, che operano sotto la loro autorità.
Il titolare o il responsabile del trattamento individuano le modalità più opportune per autorizzare al trattamento dei dati personali le persone che operano sotto la propria autorità diretta.

 Dal combinato disposto dei suddetti articoli emerge che:

• all’art. 29 prevale l’elemento fondante delle istruzioni che devono essere fornite per poter trattare dati personali soprassedendo ad aspetti altrettanto fondamentali;
• “chiunque” può essere, indifferentemente, una persona fisica o una persona giuridica quindi anche un soggetto diverso dal dipendente purché svolga le attività di trattamento sotto l’autorità del Titolare/Responsabile;
• al contrario, nell’art. 2-quaterdecies, si parla specificatamente di persone fisiche;
• il richiamo all’assetto organizzativo può riferirsi al coinvolgimento non solo di figure interne ma anche esterne all’insegna dell’adozione delle misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio; ciò coerentemente alla previsione dell’art. 29;
• l’espressa designazione delle persone fisiche lascia ben intendere l’opportunità di una nomina scritta dei soggetti designati;
• è data enfasi all’autorità del Titolare/Responsabile sotto la quale le persone autorizzate agiscono e i soggetti designati operano.

Il mio suggerimento è quindi quello di:

• identificare i soggetti, interni ed esterni, che vengono autorizzati a trattare dati personali in virtù dei trattamenti a loro affidati;
• identificare, per i soggetti interni, l’unità funzionale di appartenenza;
• procedere ad una loro designazione scritta specificando i confini delle attività di trattamento autorizzate/affidate;
• adottare misure di limitazione e contenimento dei margini di manovra dei suddetti soggetti;
• fornire istruzioni puntuali e adhocratiche valutando differenti livelli di responsabilizzazione;
• assicurarsi che tali istruzioni siano debitamente documentate.

Identificati i soggetti, occorre attivarsi con i dovuti crismi per la loro più appropriata definizione e organizzazione.

In questo senso, per esempio, il Contitolare, il Rappresentante ed il Responsabile del trattamento dei dati personali sono persone autorizzate, persone fisiche o giuridiche rientrando nell’accezione “chiunque” dell’art. 29. La loro disciplina, però, è specifica e riconducibile, rispettivamente, agli artt. 26, 27 e 28. Sono persone che possono, secondo esigenza, trovarsi inseriti o meno nell’organigramma aziendale.

Qualche esempio?

• L’Organismo di Vigilanza è un Responsabile del trattamento (RTDP) a cui il Titolare ricorre dovendo effettuare per suo conto specifici trattamenti.
  Il Titolare è chiamato obbligatoriamente, per legge, a ricorrere all’OdV per lo svolgimento di trattamenti specifici, in adempimento al D. Lgs. 231/01.
  Trattamenti per i quali il Titolare determina finalità e mezzi pur rimanendo, in capo all’OdV, gli autonomi poteri di iniziativa e controllo, di vigilanza sul funzionamento e l’osservanza dei modelli e del loro aggiornamento.
  È un Responsabile interno perché trattasi di un organismo dell’ente.
• Il Collegio sindacale è, allo stesso modo, un Responsabile al quale il Titolare ricorre, anche in questo caso, per obbligo di legge. È però esterno, fuori dall’assetto organizzativo.
• Lo studio di consulenza del lavoro è Responsabile esterno perché a lui ricorre il Titolare per il trattamento la gestione delle paghe dei propri dipendenti. Il Titolare, volendo, potrebbe gestire in proprio tali trattamenti ma preferisce concentrarsi sul proprio core business e ricorrere all’outsourcing.
• il DPO, è persona autorizzata rivelandosi, secondo i chiarimenti del Garante, sia persona fisica sia persona giuridica. Il suo ruolo è però specificatamente disciplinato dagli artt. 37 a 39.

Focalizzando l’attenzione sulle singole funzioni del Titolare (Azienda, Studio professionale, Associazione, Ente, ecc.) lo sguardo è sicuramente rivolto alle persone fisiche, agli individui che, in virtù dei compiti svolti, sono riconducibili ai soggetti designati.

Vi si riscontrano le seguenti figure:

• il Privacy manager, che chiamato ad adeguare l’organizzazione ai requisiti della normativa sulla protezione dei dati personali, è soggetto designato in staff al Direttore generale;
• l’amministratore di sistema, che amministra i componenti del sistema ICT per soddisfare i requisiti del servizio, è soggetto designato;
• il Direttore del personale, così come i suoi collaboratori che trattano dati personali, è soggetto designato
• e così via.

Per quanto sopra risulta evidente, quindi, l’importanza di porre la dovuta attenzione nell’individuazione di tutti i soggetti, dentro e fuori l’Organizzazione (Titolare), in qualità di persone autorizzate ovvero di soggetti designati, e dare così evidenza delle modalità organizzative nella distribuzione di ruoli e responsabilità all’insegna del principio generale e fondante di ACCOUNTABILITY soddisfacendo una delle principali azioni da intraprendere qual è la progettazione dell’organigramma per la data protection.

Marcello Colaianni
Certified DPO e DP Auditor UNI 11697
Certified DP Auditor ISDP 10003:2018 Scheme
Compliance & Management Systems Consultant/Auditor