L’istituto della Certificazione in Svizzera alla luce del GDPR e della Legge federale sulla protezione dei dati (LPD).

La Svizzera non è Stato membro dell’Unione Europea cionondimeno l’osservanza del Regolamento UE 679/2016 (GDPR) trova applicazione anche qui, sia pur in determinate circostanze. In particolare nelle ipotesi in cui le attività di trattamento:

  1. siano riconducibili alla filiale dell’impresa svizzera che si trovi all’interno dell’Unione europea;
  2. riguardino l’offerta di beni o la prestazione di servizi agli interessati che si trovino nell’Unione, indipendentemente dall’obbligatorietà di un pagamento dell’interessato;
  3. riguardino il monitoraggio del comportamento degli interessati nella misura in cui tale comportamento ha luogo all’interno dell’Unione;
  4. siano riconducibili all’impresa svizzera che assume il ruolo di Responsabile del trattamento, per un’impresa europea, nello svolgimento delle attività di cui al punto “2.”

Per quanto in  premessa, in sede di applicazione del GDPR, le imprese svizzere possono essere interessate alla certificazione per la protezione dei dati personali con riferimento alle proprie attività di trattamento.
Certificazione già contemplata dalla Legge federale sulla Protezione dei Dati – LPD (235.1 del 19/6/1992) che, all’art. 11: Procedura di certificazione, dispone:

  1. <<Per migliorare la protezione e la sicurezza dei dati, i fornitori di sistemi e di programmi di trattamento dei dati, nonché le persone private o gli organi federali che trattano dati personali possono sottoporre i loro sistemi, le loro procedure e la loro organizzazione a una valutazione da parte di organismi di certificazione riconosciuti e indipendenti>>.
  2. <<Il Consiglio federale emana disposizioni sul riconoscimento delle procedure di certificazione e sull’introduzione di un marchio di qualità inerente alla protezione dei dati. Esso tiene conto del diritto internazionale e delle norme tecniche riconosciute a livello internazionale>>.

Ma è la lettura del Messaggio – concernente la revisione della legge federale sulla protezione dei dati (LPD) e il decreto federale concernente l’adesione della Svizzera al Protocollo aggiuntivo dell’8 novembre 2001 alla Convenzione per la protezione delle persone in relazione all’elaborazione automatica dei dati a carattere personale concernente le autorità di controllo e i flussi internazionali di dati – del 19 febbraio 2003 a fornire utili ed ulteriori specificazioni:

  • 2.10 – Art. 11: Procedura di certificazione
    “(…)
  • Devono essere sviluppate sia procedure di certificazione di processi operativi rilevanti per la protezione di dati o di strutture organizzative (audit in materia di protezione di dati) sia la valutazione di sistemi o programmi informatici – cioè di prodotti – per quanto riguarda l’osservanza di standard in materia di protezione di dati.

Dal che emerge che ciò di cui si sta parlando è una certificazione di prodotti, processi e servizi fondata sulla norma UNI CEI EN ISO/IEC 17065: Valutazione della conformità – Requisiti per organismi che certificano prodotti, processi e servizi.

  • La procedura di valutazione deve portare, una volta stabilito che le norme legali e tecniche del ramo sono osservate, al conferimento di un marchio di qualità inerente alla protezione di dati. Questo riconoscimento può essere utilizzato dalle ditte di certificazione per scopi pubblicitari e portato a conoscenza del pubblico. Le autorità e ditte certificate sono escluse dall’obbligo di notifica della loro raccolta di dati di cui all’articolo 11a, se hanno comunicato il risultato della valutazione all’Incaricato della protezione dei dati. Questo alleggerimento ha lo scopo di incentivare.

Il conseguimento della certificazione consente quindi ampia pubblicità circa l’assicurazione sull’idoneità, correttezza ed adeguatezza delle proprie attività di trattamento e disimpegna le ditte certificate dall’obbligo di notifica.

  • Gli organismi che svolgono questa procedura di certificazione devono essere indipendenti, dal punto di vista soprattutto organizzativo ma anche tecnico, dai privati o dalle autorità da valutare. Il riconoscimento di questi organismi dovrà essere regolato dal Consiglio federale nell’ordinanza. È anche immaginabile che gli organismi di certificazione debbano disporre di un accreditamento.
    Inoltre l’Incaricato deve verificare se le procedure di valutazione e il conferimento del marchio di qualità sono compatibili con il diritto vigente. Egli può intervenire mediante gli strumenti previsti dalla LPD (raccomandazione, proposta alla commissione della protezione dei dati).

Ora, pur considerato che in Svizzera è in elaborazione uno standard per procedure uniformi in materia di certificazioni inerenti alla protezione di dati, può essere utile sapere che esiste già, sul mercato, un meccanismo di certificazione conforme al GDPR, accreditato Accredia, e promosso dalla Commissione europea: l’International Scheme for Data Protection ISDP 10003:2018.

Il ricorso ad un siffatto meccanismo di certificazione che, di per sé, fornisce già una molteplicità di assicurazioni e garanzie, può essere strumento chiarificatore dello stato dell’arte in Svizzera e, forse, valido suggerimento per gli obiettivi che la Confederazione elvetica vuole raggiungere.

Qui, infatti, il riferimento alla certificazione si fonda:

  • sull’art. 11 della Legge federale sulla protezione dei dati,
  • sull’Ordinanza  sulle certificazioni in materia di protezione dei dati (OCPD) che, aggiornato al 1° novembre 2016, richiama le norme UNI EN ISO 9001: Sistemi di gestione per la qualità – Requisiti e UNI CEI ISO/IEC 27001: Tecnologie informatiche – Tecniche per la sicurezza – Sistemi di gestione per la sicurezza delle informazioni – Requisiti ed altre ordinanze.

Inoltre, nel documento riepilogativo circa lo stato della certificazione di prodotti e servizi si legge: “Dalla discussione è emerso che per il mercato svizzero una certificazione di prodotti informatici (hardware, software o sistemi per l’elaborazione automatizzata dei dati) è improponibile per ragioni giuridiche, tecniche e finanziarie. Diversi partecipanti al gruppo di lavoro hanno però chiesto di introdurre una certificazione dei servizi”.

L’art. 5 della suddetta ordinanza (RS 235.13), tuttavia, fa riferimento alla Certificazione dei prodotti e più precisamente alla certificazione dei prodotti destinati in prevalenza al trattamento di dati personali o generanti, al momento del loro impiego, dati personali, in particolare relativi all’utente rilevando l’effettiva mancanza circa la normazione di una certificazione dei servizi.

Orbene, un piccolo richiamo alle norme ISO torna utile.
Nell’alveo delle norme ISO di Valutazione della conformità si riconoscono:

  • la norma ISO 17020:2012: Requisiti per il funzionamento di vari tipi di organismi che eseguono ispezioni;
  • la norma ISO 17021:2012: Requisiti per gli organismi che forniscono audit e certificazione di sistemi di gestione;
  • la norma ISO 17024:2012: Requisiti generali per organismi che eseguono la certificazione delle persone;
  • la norma ISO 17025:2018: Requisiti generali per la competenza dei laboratori di prova e di taratura e
  • la norma ISO 17065:2012: Requisiti per organismi che certificano prodotti, processi e servizi.

È proprio quest’ultima, la ISO 17065, a fare al nostro caso.

La norma in discorso, infatti, non è quella fondante su cui si basano gli organismi per la certificazione di un sistema di gestione aziendale ma è quella di accreditamento degli organismi che certificano processi, prodotti e servizi.
É quella richiamata nel GDPR, il regolamento 679/2016, a cui le imprese svizzere devono adeguarsi in presenza delle considerazioni in premessa; è la norma:

  • per la certificazione dei prodotti di cui all’art. 5 dell’ordinanza di RS 235.13,
  • per la certificazione di processi operativi rilevanti per la protezione di dati (v- § 2.10 – Art. 11: Procedura di certificazione Messaggio del 19/2/2003 di revisione della LPD).

In conclusione:
fatto salvo il rispetto delle leggi della Confederazione elvetica, cantonali nonché, in presenza di presupposti, del Regolamento UE 679/2016:

  • la certificazione di prodotti, processi e servizi, di cui alla normativa richiamata, viene soddisfatta se effettuata da un organismo di certificazione accreditato in conformità alla ISO 17065. A questi presupposti è sicuramente allineato lo schema ISDP 10003 di Inveo Srl.
  • la certificazione di sistemi, procedure e dell’organizzazione dei fornitori e delle persone private, di cui all’art. 11 della LPD, se non soddisfatta come sopra, deve necessariamente avvenire in conformità a una o più norme fondate sulla ISO 17021 ovvero sulla norma di accreditamento degli organismi che forniscono certificazioni di sistemi di gestione.

In questo caso, però,  è utile che le direttive emanate dall’incaricato – sui requisiti minimi che un sistema di gestione della protezione dei dati deve adempiere – non si limitino a richiamare la ISO 9001 e la ISO 27001 estendendosi, per esempio, alla linea guida BS 10012:2017: Data protection – Specification for a personal information management system e alla ISO 27552 dal titolo “Security techniques – Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management –  Requirements and guidelines” che, pur rientrando fra le norme della famiglia ISO 27000 riguardanti la sicurezza delle informazioni sembra estendere il proprio campo di applicazione agli aspetti inerenti la gestione dei dati personali.

Marcello Colaianni
Certified DPO e DP Auditor UNI 11697

Certified DP Auditor ISDP 10003:2018 Scheme
Compliance & Management Systems Consultant

 

DATA PROTECTION e INFORMATION SECURITY: binomio indissolubile per il payroll management

La relazione fra i due contesti, e le norme che li disciplinano, assume connotazioni differenti a seconda dell’oggetto sociale dell’organizzazione.

Sicuramente, i settori merceologici più coinvolti nella gestione combinata di sicurezza delle informazioni e protezione dei dati sono quelli propri delle aziende ICT (società di HW, SW, Telecommunications, Hosting, Web provider, ecc.), del settore sanitario e della salute e quello finanziario.

Ciò premesso, tuttavia, un ambiente estremamente critico e significativo è quello relativo ai processi di gestione delle paghe. Dal punto di vista della protezione dei dati, fra l’altro, per il trattamento di dati particolari  e, all’occorrenza, di quelli penali. Per quanto alla sicurezza delle informazioni anche per l’evidente ed imponente  utilizzo dei sistemi informativi.

In questo contesto, non deve ingannare il fatto che la data protection sia disciplinata da norme di legge mentre la information security da norme di sistema. Entrambi, infatti, mantengono estremamente elevato il loro valore strategico e sostanziale specialmente in siffatti settori merceologici.

È fondamentale che le organizzazioni che affidano in outsourcing i suddetti servizi prestino la dovuta attenzione affinché non si verifichino violazioni di sorta anche per un incauto trattamento da parte delle società appaltatrici.

Cosa fare, allora, in sede di qualificazione/riqualificazione dei propri fornitori?
Le azioni utili da intraprendere si sviluppano secondo due direttrici.

La prima consiste nell’acquisire evidenze oggettive volte a dimostrare l’adeguamento alla normativa  di riferimento:

  • Relativamente agli aspetti della Data Protection si ricorda l’esistenza di due schemi pro GDPR riconducibili al DPMS 44001 ed all’ISDP 10003;
  • Per quanto alla sicurezza delle informazioni suggerisco, nel caso di specie, la certificazione secondo la norma UNI CEI EN ISO/IEC 27001 e, eventualmente, alla UNI EN ISO 22301:2014: “Sicurezza della società – Sistemi di gestione della continuità operativa – Requisiti”, con evidenza dell’adeguamento, anche attraverso richiesta dello statement of applicability, ad una o più delle seguenti norme:
    ISO/IEC 20000-1 riguardante i requisiti per un sistema di gestione del servizio;
    ISO/IEC 27010 per la gestione della sicurezza delle informazioni per le comunicazioni intersettoriali e interorganizzative
    ISO/IEC 27018 per la protezione delle informazioni di identificazione personale (PII) in cloud pubblici che agiscono come processori PII;

La seconda direttrice contempla, in aggiunta, la pianificazione di audit di 2a parte; ovvero ispezioni presso il fornitore per verificare, in loco, l’adeguatezza dei processi aziendali attraverso auditor propri o esterni.

A dimostrare le interrelazioni che si pongono fra sicurezza delle informazioni e protezione dei dati e la particolare attenzione richiesta per tali processi è, inoltre, il requisito che la norma UNI CEI EN ISO/IEC 27001 prevede all’obiettivo A.18.1.4, dell’allegato A, che dispone: <<Si devono assicurare la privacy e la protezione dei dati personali,  come richiesto dalla legislazione e dai regolamenti pertinenti, per quanto applicabile>>.

Il requisito  in discorso è inserito in una norma di sistema ma fa riferimento ad una norma di legge, in particolare al combinato disposto di cui al Regolamento UE 679/2016 ed al novellato D. Lgs. 196/03. Il rispetto della normativa sulla data protection è, quindi, un aspetto che va puntualmente controllato e sottoposto al processo di valutazione dei rischi ex ISO 27001. Il livello di rischio determinatosi, suggerirà l’opportunità di:

  • integrare il sistema per le parti mancanti ed applicabili all’organizzazione;
  • continuare o interrompere la conduzione dell’audit di 3a parte. Ciò a discrezione del gruppo di audit, ovvero dell’Organismo di certificazione;
  • qualificare, riqualificare o revocare la qualificazione, in ipotesi di audit di 2a parte, a cura del cliente.

Le suddette considerazioni, infine, lasciano ben immaginare quanto un’appropriata strutturazione di competenze, ruoli e responsabilità sia essenziale, anzi, determinante.
Il DPO, in questa sede, è la figura ideale anche per coniugare e monitorare sull’applicazione delle due normative, e quanto ad esse correlate, all’insegna di un organizzato ed integrato modello di riferimento nonché dei comuni principi di:

  • Liceità, Correttezza e Trasparenza;
  • Riservatezza, Integrità, Disponibilità;
  • Esattezza e Responsabilizzazione.

Marcello Colaianni
Compliance & Management Systems Consultant/Auditor
Privacy Consultant, DP Auditor e DPO UNI11697 Certified
UNI CEI EN ISO/IEC 27001 Qualified Auditor                    

GDPR versus ISO 27001

È ormai noto a tutti che la certificazione di un sistema di gestione della sicurezza delle informazioni (SGSI) non è valida quale evidenza circa la conformità dell’organizzazione alla normativa per la Data Protection.

Al contrario si può affermare che, pur soddisfatti gli altri requisiti, laddove non si abbia riscontro circa le dovute assicurazioni in merito alla privacy ed alla protezione dei dati  personali, la certificazione del SGSI non è garantita.
Lo si evince dal combinato disposto di cui all’obiettivo A.18.1.4 dell’appendice A ed al punto 6.1.3 “Trattamento del rischio relativo alla sicurezza delle informazioni” della ISO 27001.

Una lettura trasversale nei suddetti termini suggerisce quanto diventi fondamentale, oltre che opportuna, una certificazione di 3a parte di un meccanismo conforme agli articoli 42 e 43 del Regolamento UE 679.

È, in altre parole, quasi come dire che occorre verificare l’esistenza di una certificazione pro GDPR, o almeno la presenza dei presupposti di conformità al GDPR, per poter avviare l’iter per la certificazione ISO 27001 . È come, mi si permetta il parallelismo, quando le SOA devono verificare preliminarmente l’esistenza della certificazione ISO 9001 per il rilascio delle attestazioni richieste.

Se così è, appaiono evidenti le molteplici considerazioni che ne conseguono.

È conditio sine qua non che gli auditor 27001 coinvolti nell’audit, o almeno l’OdC, siano depositari di adeguate conoscenze in materia di data protection. In questo caso alcuni OdC potrebbero decidere di avvalersi, in alternativa agli esperti tecnici, di auditor che abbiano anche una certificazione secondo la norma UNI 11697. Ciò anche per dare ancora più peso e valore alla certificazione rilasciata.

Ben immaginabili possono essere le conseguenze di un siffatto ragionamento.
Si pensi ad un’organizzazione che abbia sia la certificazione ISO 27001 sia quella ex GDPR.

Quali potrebbero essere gli effetti qualora, in sede di verifica annuale, la stessa organizzazione si vedesse revocare il certificato di conformità al Regolamento? Oltre alla revoca del certificato, debitamente motivata, che l’OdC deve obbligatoriamente trasmettere al Garante privacy, c’è anche il rischio di vedersi, conseguentemente, revocare la certificazione ISO 27001 data la sopraggiunta inosservanza alla normativa privacy? E laddove l’Organismo coinvolto fosse lo stesso per entrambi gli schemi?

E cosa dire riguardo alla verifiche ispettive di 2a parte effettuate dalle aziende clienti?
Si pensi, per esempio, ad una multinazionale le cui paghe dei dipendenti sono gestite in outsourcing.
In sede di qualificazione dell’azienda appaltatrice verrà richiesto il soddisfacimento dei requisiti della ISO 27001, del Regolamento Ue e di quanto ad esso correlato, o di entrambe le normative o altro ancora come ulteriori evidenze in materia di Disaster Recovery o di Business Continuity Management? E quanto approfondite saranno queste verifiche?
Forse, “più semplicemente”, basterà fornire l’evidenza di una doppia certificazione di 3a parte?

Non spetta al sottoscritto dettare comportamenti univoci, questi competono sicuramente ad altri ma, se vogliamo essere allineati al dettato normativo – e in questa sede è significativa la relazione che viene a porsi fra norme di legge con valenza europea, oltre che nazionale, e norme di sistema con valenza internazionale, oltre che italiana – non vedo molte alternative alla suddetta interpretazione, almeno fino ad oggi.

A questo punto, come si suol dire, ai posteri l’ardua sentenza.

Marcello Colaianni
Compliance & Management Systems Consultant/Auditor
DPO UNI11697, Privacy Consultant e DP Auditor Certified

 

Il DPO: un facilitatore, un coach, un mentore!

È un sommo piacere vedere ribadito, nel post di Angelo Freni (https://www.linkedin.com/pulse/dpo-facilitatore-angelo-freni-1f/), che il DPO è colui che, fra l’altro, sorveglia l’osservanza del Reg. UE e non “quello che fa le carte” pena l’incorrere in un inevitabile conflitto d’interesse.

Da questa prospettiva si capisce come il DPO sia, e debba essere percepito, un facilitatore. Un professionista, cioè, che ha in sé la qualità di portare l’Organizzazione ad elicitare le proprie risorse e passare dalla situazione “A”, quella pre-Regolamento UE 679/2016, alla situazione “B”, post 25/05/2018 in adempimento ai requisiti della normativa vigente.

Il DPO è un coach! Svolge attività di coaching.

“COACHING” la cui parola richiama quella di COACH, carrozza ….  e come la carrozza trasporta il passeggero da un luogo ad un altro, il Coach porta il Cliente e l’utente finale (Coachee) dalla situazione attuale a quella desiderata, dalla definizione di propri obiettivi fino al loro raggiungimento.

Ha capacità relazionali ed è in grado di condurre colloqui e gestire le diverse fasi del processo.
Ha abilità proprie e caratteristiche peculiari che si riconoscono nell’ascolto attivo e contestuale; è aperto e sicuro di sé, flessibile e capace di adattarsi alle situazioni, umile e scevro da pregiudizi, rispettoso ed eticamente corretto.

L’indicazione dell’abilità del coaching fra gli skill previsti del DPO, ovvero del Responsabile della Protezione dei Dati (RPD), nella norma UNI 11697, non è un caso!

Non solo! Essendo un addetto ai lavori in materia di Data Protection, il DPO è un mentore!

Il mentor è un saggio che conosce le cose, un modello, la persona da prendere come riferimento e caratterizzata da una forte motivazione a fare da guida e da consigliere al mentee.

In azienda, il Mentore è colui che affianca ed istruisce chi lo succederà nel suo ruolo. È il DPO che affianca e istruisce l’intera organizzazione; è il DPO che è co-attore nell’istituzione, affiancamento e formazione del Data Protection Departement.

È il DPO, il tuo facilitatore nell’applicazione del GDPR.

Marcello Colaianni
Compliance & Management Systems Consultant/Auditor
Business, Team e Corporate Coach.

 

 

DPO: Data Protection Officer versus Data Privacy Officer, stesso acronimo, figure diverse

Ho già avuto modo di scriverlo in alcuni miei articoli come quello del 21 agosto 2017 (https://marcellocolaianniblog.wordpress.com/2017/08/21/il-responsabile-della-protezione-dei-dati-il-privacy-officer-e-le-altre-figure-del-gdpr/) e mi preme qui ribadire il concetto per cui di Data Protection Officer ce n’è uno ed uno solo. È quello nominativamente previsto agli articoli 37 a 39 del Regolamento UE 679/2016.

Senza nulla togliere alle altre figure professionali della Privacy, o più correttamente, della Data Protection, vanno assolutamente specificate le differenze in termini di ruolo, mansioni e competenze.

Esiste il Chief Privacy Officer? Va bene, non è il DPO! Esistono i Privacy Officer e gli altri Officer che si occupano a vario titolo della materia in discorso? Benissimo! Sono altro rispetto al DPO!

L’ultimo nato è l’ancor più ingannevole Data Privacy Officer con acronimo identico al Data Protection Officer.  Un caso?

Da dove salti fuori non ne ho minimamente idea. È certo che se si vogliono identificare soggetti che, in azienda o fuori, si occupano della materia in discorso basta ricorrere ai suggerimenti della norma UNI 11697 che, riconoscendo personalmente il Responsabile della Protezione dei Dati,  propone la figura del Manager Privacy, valida alternativa a tutte le altre definizioni più sopra citate, dello Specialista privacy e del Valutatore privacy per i quali sono formulate caratteristiche proprie e identificative.

D’altra parte, è lo stesso WP29 (ora EDPB) a ricordarcelo:
Nulla osta a che un’azienda o un ente, quando non sia soggetta all’obbligo di designare un RPD e non intenda procedere a tale designazione su base volontaria, ricorra comunque a personale o consulenti esterni incaricati di incombenze relative alla protezione dei dati personali. In tal caso è fondamentale garantire che non vi siano ambiguità in termini di denominazione, status e compiti di queste figure; è dunque essenziale che in tutte le comunicazioni interne all’azienda e anche in quelle esterne (con l’autorità di controllo, gli interessati, i soggetti esterni in genere), queste figure o consulenti non siano indicati con la denominazione di responsabile per la protezione dei dati (RPD).
Considerazioni che valgono anche per i chief privacy officers (CPO) o altri professionisti in materia di privacy già operanti presso alcune aziende, che non sempre e non necessariamente si conformano ai requisiti fissati nel regolamento per quanto riguarda, per esempio, le risorse disponibili o le salvaguardie della loro indipendenza e che, in tal caso, non possono essere considerati e denominati “RPD”.  

Marcello Colaianni
Compliance & Management Systems Consultant/Auditor

Norme di legge e norme di sistema: Requisiti complementari e differenti.

Con il presente articolo mi associo al pensiero di un autorevole e riconosciuto Organismo di Certificazione italiano.

Spesso, anche dal confronto con miei rispettosissimi colleghi, mi trovo a dibattere sulla necessità di fare i dovuti distinguo fra le prescrizioni di cui alla legislazione e quelle formulate all’interno delle norme di  sistema.
Ecco che cosa intendo.

Nel testo del D. Lgs. 8 giugno 2001 n.  231 “Disciplina della responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica, a norma dell’articolo 11 della legge 29 settembre 2000, n. 300” è incluso il riferimento alla corruzione richiamata all’art. 25: Concussione, induzione indebita a dare o promettere utilità e corruzione. Sappiamo trattarsi di uno degli innumerevoli reati a fronte del quale gli Enti devono implementare un modello di organizzazione e di gestione idoneo ad avere efficacia esimente della responsabilità amministrativa; il cosiddetto M.O.G.

La dimostrazione di una sua adozione ed efficace attuazione è espressa nella registrazione ed osservanza di aspetti riguardanti:

  • La mappatura delle aree/funzioni/attività aziendali a rischio reato;
  • L’analisi puntuale degli specifici fattori di pericolo e loro analisi per la determinazione del rischio e suo trattamento;
  • La valutazione, costruzione ed adeguamento del sistema di controllo preventivo con l’individuazione ed analisi dei singoli componenti: Codice etico (e sistema disciplinare) con riferimento ai reati considerati, Sistema organizzativo, Procedure manuali ed informatiche, Poteri autorizzativi e di firma, Sistema di controllo di gestione, Formazione e addestramento, Comunicazione e coinvolgimento, Gestione operativa, Sistema di monitoraggio della sicurezza;
  • L’identificazione e nomina di un appropriato Organismo di Vigilanza (OdV) tenendo conto della sua composizione, dei compiti, dei requisiti e poteri e loro distribuzione fra i singoli membri, le relazioni fra l’OdV e le altri funzioni aziendali, i flussi di informazione nonché i profili penali e della responsabilità.

Quanto sopra, tuttavia, è cosa del tutto differente rispetto a ciò che prevede la UNI ISO 37001: Sistemi di gestione per la prevenzione della corruzione – Requisiti e guida all’utilizzo.

Questa, a solo titolo esemplificativo, identifica specifiche figure professionali quali il Responsabile della prevenzione della corruzione, riconosce l’Organo direttivo e l’Alta direzione che si sovrappongono alle funzioni già esistenti all’interno dell’Organizzazione con propri ruoli, responsabilità ed un coinvolgimento tale per cui si può oggettivamente affermare: “Non poteva non sapere”.

Qui, la valutazione dei rischi di corruzione si estende concretamente ai cosiddetti “soci in affari” e ad essa, laddove emergessero rischi medi o elevati, segue una due diligence. Occorre cioè avviare un’ulteriore verifica della natura ed entità del rischio di corruzione e aiutare le organizzazioni  ad assumere decisioni in relazione a transazioni, progetti, attività, soci in affari e personale specifici.

Cosa c’è in comune? La valutazione dei rischi, la consapevolezza e la formazione a tutti i livelli e funzioni dell’organizzazione, la comunicazione e le informazioni documentate … il tutto, però, debitamente contestualizzato.

Parimenti dicasi per la PRIVACY!

Al pari della Corruzione, il D. Lgs. 231, all’art 24-bis, tratta dei Delitti informatici e trattamento illecito di dati.

L’evidenza delle azioni intraprese volte ad evitare l’incorrere in siffatti rischi e, quindi, a dimostrare il loro regolare monitoraggio non può assolutamente essere equiparato ai comportamenti da assumere in ossequio al Regolamento UE 679/2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati.

Certo! È indubbio che vi siano correlazioni fra i suddetti reati e l’adeguamento al GDPR (General Data Protection Regulation). Si tratta, però, di aspetti fra loro complementari e del tutto insufficienti a dimostrare autonomamente la reciproca osservanza senza l’attuazione di specifici adempimenti.

L’adeguamento al Regolamento, che subentra al D. Lgs. 196/03 e smi (Codice in materia di protezione dei dati personali) in fieri di essere revisionato in adeguamento allo stesso GDPR, già di per sé, impone un approccio sistemico nell’adempimento dei suoi requisiti. Un approccio, cioè, simile al passaggio fra il D. Lgs. 626/94 ed il D. Lgs. 81/08 in materia di Sicurezza sul lavoro – rafforzato poi dal riferimento al relativo sistema di gestione di cui all’art. 30 – dove non è sufficiente l’adempimento puntuale, per esempio, dell’informativa e della richiesta del consenso o della designazione del Responsabile della protezione dei dati.

Si richiede, innanzitutto, un cambiamento di cultura, l’individuazione di nuove figure aziendali che, grazie alla propria esperienza ed alle risorse disponibili, possano dare il loro valido contributo all’Organizzazione. Serve, senza ricorrere al tuttologo di turno, un approccio trasversale che consenta di rilevare la ricaduta del trattamento dei dati personali degli interessati con riferimento a tutte le attività di trattamento del Titolare focalizzandosi, fin dalla progettazione e per impostazione predefinita, sia sui dati logici sia, e prima ancora, su quelli organizzativi e fisici.

Un’utopia? NO! Tanto più considerando che gli Stati membri, le autorità di controllo, il comitato e la Commissione incoraggiano, in particolare a livello di Unione, l’istituzione di meccanismi di certificazione della protezione dei dati (…)  allo scopo di dimostrare la conformità al presente regolamento dei trattamenti effettuati dai titolari del trattamento e dai responsabili del trattamento.

Meccanismi di certificazione che, se propriamente implementati, possono calmierare l’entità di eventuali sanzioni amministrative.

Nel nostro Paese, ci sono schemi (leggi meccanismi) proprietari di certificazione che, validati da Organismi lungimiranti, sebbene fuori accreditamento hanno l’indiscusso merito di aiutare le organizzazioni nell’applicazione del Regolamento stesso.

Cosa fare, quindi?

  1. Definire il focus, l’obiettivo: Capire cosa si vuole fare e focalizzarsi su quello;
  2. Individuare e valutare le diverse possibilità per raggiungere l’obiettivo;
  3. Pianificare le azioni da intraprendere, come organizzarsi e convergere, all’interno e/o ricorrendo a professionalità esterne, expertises differenti per il comune obiettivo;

e ancora

  1. Analizzare e far fronte agli eventuali ostacoli che vi si frappongono;
  2. Assicurarsi di essere, tutti, sulla stessa lunghezza d’onda … e
  3. PARTIRE!

Marcello Colaianni
Compliance & Management Systems Consultant/Auditor

 

 

 

 

 

 

 

 

 

Il GDPR e i meccanismi di certificazione

In Italia, esistono Standard proprietari conformi al GDPR ma, a onor del vero, un unico meccanismo di certificazione valido in tutta la UE é ancora là da essere riconosciuto come universalmente validato.

A riguardo, durante la partecipazione ad alcuni convegni sento dire quanto sia controproducente, da parte delle Organizzazioni,  l’adozione di un siffatto meccanismo.

Rimango basito!

Innanzitutto, ricordiamo tutti che “gli Stati membri, le autorità di controllo, il comitato e la Commissione incoraggiano, in particolare a livello di Unione, l’istituzione di meccanismi di certificazione della protezione dei dati” …
… e questo vorrà dire qualcosa, no?   

In secondo luogo è fondamentale sapere che, sebbene l’istituzione del meccanismo di certificazione sia facoltativa, l’adeguata implementazione e idonea applicazione di un sistema di gestione per la protezione dei dati è uno dei fattori presi in considerazione per calmierare l’entità delle sanzioni amministrative, qualora comminate.

È vero! Una volta che s’intraprende questo cammino virtuoso … non si può più tornare indietro, pena il rischio di:

  1. vedersi revocata la certificazione,
  2. vedere comunicata la revoca della certificazione all’autorità di controllo
  3. ritrovarsi ancor più vulnerabili di fronte alle eventuali ispezioni circa l’applicazione del Regolamento.

Ma mi chiedo:

  • qualunque Sistema di gestione aziendale, e quindi anche il DPMS (Data Protection Management System), non ha come mission quello di sollecitare l’organizzazione a dare sempre il meglio di sé?
  • Perché temere il peggio  se l’Organizzazione si struttura adeguatamente in modo da garantire la propria compliance a tutte le norme di legge … e di sistema?
  • Perché soffermarsi e vedere il bicchiere mezzo vuoto invece di cogliere un’opportunità per dare ancor più valore all’immagine, alla propria reputazione ed alle proprie risorse umane?

Un’altra riflessione è doverosa, in questa sede.

L’Organizzazione che voglia assumere in toto la paternità della propria compliance al GDPR può, in alternativa, ricorrere alla linea guida UNI ISO 19600:2016 – Sistemi di gestione della conformità (compliance) – Linee guida quale utile e validato riferimento ed evidenza oggettiva circa l’adeguamento al Regolamento. Certo, non si può parlare di certificazione bensì di attestazione … ed è sempre un primo passo, no?

In conclusione:

  1. ben venga qualunque evidenza volta a dimostrare l’osservanza e l’adeguatezza al GDPR;
  2. ben venga l’adozione di meccanismi di certificazione e di codici di condotta che possono calmierare l’entità di eventuali sanzioni;
  3. ben venga, più di ogni altra cosa, l’istituzione di un modello organizzativo che, oltre a dare evidenza della propria conformità ai requisiti, costituisca quel corpus di istruzioni che dettano i più appropriati comportamenti in grado di rassicurare i propri clienti ed interessati e di esaltare le proprie risorse, l’identità aziendale e chi, della tua Organizzazione, è parte attiva.

Marcello Colaianni
DPO e Privacy Consultant KHC Certified n. 2108
Data Protection Auditor KHC Certified n. 2121

I Partiti, i Sindacati ed il GDPR

I partiti e i sindacati sono chiamati ad adeguarsi al Regolamento UE 679/2016 in materia di protezione delle persone fisiche con riferimento ai dati personali ed alla loro circolazione?

Assolutamente si!
A maggior ragione considerando che per definizione questi soggetti trattano non solo i “comuni” dati personali, ma altrettante e fondamentali categorie di dati particolari ovvero sensibili, cioè quelli che “rivelano (…), le opinioni politiche, (…), o l’appartenenza sindacale (…)”.  

A cosa sono tenuti?

Naturalmente a tutte le incombenze previste per la generalità delle Organizzazioni. Quindi, le consuete Informative e Richieste di consenso, l’identificazione e nomina delle figure della privacy, la tenuta del Registro dei trattamenti e, non ultimo, la nomina del Responsabile della protezione dei dati (RPD/DPO).

A cosa vanno incontro, in ipotesi di mancata osservanza ai requisiti di legge?

Al rischio sanzioni amministrative fino a € 10 mln o 20 mln in base alla tipologia di requisiti disattesi ed ai successivi comportamenti nonché alle sanzioni penali introdotte dai singoli stati membri.

Quali sono i rischi per la protezione dei dati personali in ambito partitico o sindacale?

Sono quelli che emergono da una puntuale e constestualizzata valutazione dei rischi con riferimento ai dati personali dell’iscritto durante il rapporto con il partito/sindacato.

Vi è anche l’obbligo di predisposizione della Valutazione d’impatto?

Assolutamente si! Per gli stessi motivi per cui sono tenuti alla designazione del RPD.  

C’è qualche scappatoia per evitare di esserne assoggettati?

NO! E se il nostro legislatore intervenisse in questi termini l’Italia sarebbe per questo soggetta a sanzioni da parte della Unione europea.

Marcello Colaianni
DPO e Privacy Consultant KHC Certified n. 2108
Data Protection Auditor KHC Certified n. 2121

 

 

Il RTDP aziendale, questo sconosciuto!

Con l’entrata in vigore del GDPR nasce una corrente di pensiero secondo cui, ancora non ho capito su che base, il RTDP aziendale non s’ha più da nominare.

Forse perché l’art. 28/679/2016, con riguardo alla sua nomina fa riferimento alla stipulazione di un contratto e, quindi, a qualunque altro atto giuridico? … e che per questo motivo suona male stipulare un contratto ad hoc nei confronti di un dipendente?
[A riguardo invito alla lettura del mio articolo: Il RTDP ed il DPO quali figure interne all’Azienda in adempimento al Reg. UE 679/2016 con riguardo al trattamento dei dati personali].

C’è, sembrerebbe, la naturale propensione a pensare, per il RTDP, esclusivamente ad un professionista esterno o ad una società di consulenza esterna, rispetto al TTDP (Titolare del Trattamento dei Dati Personali).

Se però pensiamo a tutte quelle organizzazioni che, indipendentemente dal ricorso ad un consulente, decidono di strutturarsi adeguatamente, è del tutto ragionevole che al proprio interno nominino uno o più RTDP (persone fisiche).

D’altra parte occorre ricordare che l’art. 4 definisce Responsabile del Trattamento dei Dati Personali (RTDP) la persona fisica (o giuridica, l’autorità pubblica, il servizio o altro organismo) che tratta dati personali per conto del titolare del trattamento e mi viene strano credere che, diversamente, la materia della protezione dei dati personali venga gestita e monitorata direttamente dal Rappresentante legale della società (di capitali) in tutt’altre faccende affaccendato.

Nei suddetti termini, allora, si scopre che la nomina del RTDP diventa necessaria e non più facoltativa, quanto meno per alleggerire le incombenze al TTDP.
Nomina, fra l’altro, ben più versatile di quella del RPD/DPO per la quale – a parità di altri presupposti – occorre dare idonee garanzie riguardo al rischio di possibili conflitti d’interesse.

Marcello Colaianni
DPO e Privacy Consultant KHC Certified n. 2108
Data Protection Auditor KHC Certified n. 2121

 

Studi professionali e GDPR

Gli studi professionali, e fra questi gli studi legali, notarili, di Commercialisti, Consulenti del lavoro e di tutti coloro che esercitano professioni organizzate in ordini o collegi, rientrano fra i soggetti tenuti all’osservanza della legislazione vigente in materia di protezione dei dati personali.

Con riferimento all’ambito materiale e territoriale, l’evidenza é chiaramente evincibile dal disposto ex artt. 2 e 3 del Regolamento:

  • trattamento interamente o parzialmente automatizzato di dati personali e al trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi;
  • trattamento dei dati personali effettuato nell’ambito delle attività di uno stabilimento (sede o unità produttiva) da parte di un titolare del trattamento o di un responsabile del trattamento nell’Unione, indipendentemente dal fatto che il trattamento sia effettuato o meno nell’Unione;
  • trattamento dei dati personali di interessati che si trovano nell’Unione, effettuato da un titolare del trattamento o da un responsabile del trattamento che non è stabilito nell’Unione, quando le attività di trattamento riguardano: a) l’offerta di beni o la prestazione di servizi ai suddetti interessati nell’Unione, indipendentemente dall’obbligatorietà di un pagamento dell’interessato;
  • monitoraggio del loro comportamento nella misura in cui tale comportamento ha luogo all’interno dell’Unione
  • trattamento dei dati personali effettuato da un titolare del trattamento che non è stabilito nell’Unione, ma in un luogo soggetto al diritto di uno Stato membro in virtù del diritto internazionale pubblico.

C’é di più: l’obbligo di nomina del Responsabile della protezione dei dati, il RPD/DPO. Ma andiamo con ordine e per verificare proprio l’esistenza del presupposto di obbligatorietà della nomina del RPD mi soffermo sui concetti di: larga scala, regolare e sistematico monitoraggio e attività principali.

Gli studi professionali trattano dati personali degli interessati (i clienti intesi come persone fisiche) su larga scala?

In assenza di una chiara, univoca ed inequivocabile definizione di “larga scala” riporto il considerando 91 che a riguardo vi ricomprende i “trattamenti su larga scala, che mirano al trattamento di una notevole quantità di dati personali a livello regionale, nazionale o sovranazionale e che potrebbero incidere su un vasto numero di interessati e che potenzialmente presentano un rischio elevato”.

E ancora, è stabilito che: “Il trattamento di dati personali non dovrebbe essere considerato un trattamento su larga scala qualora riguardi dati personali di pazienti o clienti da parte di un singolo medico, operatore sanitario o avvocato”.

Il secondo inciso porta agevolmente a ritenere che laddove il trattamento riguardi dati personali di interessati effettuato NON dal singolo professionista bensì da un’organizzazione in qualsiasi modo diversamente strutturata (Studio associato, Associazione fra professionisti, CED, ecc.) l’obbligo di nomina del RPD è assolutamente presente.

Altri aspetti da tenere in debita considerazione, come raccomanda il WP29 ovvero il Gruppo dei Rappresentanti dei Garanti Privacy di tutti gli stati membri, sono:

  • il numero di soggetti interessati dal trattamento, in termini assoluti ovvero espressi in percentuale della popolazione di riferimento;
  • il volume dei dati e/o le diverse tipologie di dati oggetto di trattamento;
  • la durata, ovvero la persistenza, dell’attività di trattamento;
  • la portata geografica dell’attività di trattamento …

… e si ricordi che fra i dati personali trattati delle suddette organizzazioni ci sono, in maniera più o meno significativa, anche quelli particolari (che rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della perso) e giudiziari.

Con riferimento al concetto di “larga scala”, come sopra esplicitato, ritengo che l’obbligo di nomina del RPD sussista, indifferentemente, in ipotesi di attività:

  • svolte da 2 o più soggetti (2 professionisti, 1 professionista ed il collaboratore, ecc.);
  • caratterizzate da un durevole e persistente trattamento;
  • con un volume di dati trattati significativo
  • con particolari tipologie di dati oggetto di trattamento.

Relativamente al concetto di “regolare e sistematico monitoraggio” degli interessati trovano sicuramente applicazione, in questa sede, i casi di trattamento:

  • che avviene in modo continuo ovvero a intervalli definiti per un arco di tempo definito;
  • ricorrente o ripetuto a intervalli costanti;
  • che avviene in modo costante o a intervalli periodici
  • che avviene per sistema;
  • predeterminato, organizzato o metodico;
  • che ha luogo nell’ambito di un progetto complessivo di raccolta di dati;
  • svolto nell’ambito di una strategia.

Posta, dati i suddetti presupposti, l’obbligatorietà della nomina del RPD, é anche fondamentale avere chiarezza su chi nominare RPD.
All’art. 39, c. 6, é scritto: “Il responsabile della protezione dei dati può svolgere altri compiti e funzioni. Il titolare del trattamento o il responsabile del trattamento si assicura che tali compiti e funzioni non diano adito a un conflitto di interessi”.
A riguardo, le linee-guida sui responsabili della protezione dei dati (RPD) adottate il 13 dicembre 2016, forniscono chiare indicazioni per evitare conflitti d’interesse per cui, opportunamente, ritengo utile rimandare il lettore al § 3.5 delle stesse:

3.5. Conflitto di interessi
In base all’art. 38, paragrafo 6, al RPD è consentito di “svolgere altri compiti e funzioni”, ma a condizione che il titolare o il responsabile del trattamento si assicuri che “tali compiti e funzioni non diano adito a un conflitto di interessi”.
L’assenza di conflitti di interessi è strettamente connessa agli obblighi di indipendenza. Anche se un RPD può svolgere altre funzioni, l’affidamento di tali ulteriori compiti e funzioni è possibile solo a condizione che essi non diano adito a conflitti di interessi. Ciò significa, in modo particolare, che un RPD non può rivestire, all’interno dell’organizzazione del titolare o del responsabile, un ruolo che comporti la definizione delle finalità o modalità del trattamento di dati personali. Si tratta di un elemento da tenere in considerazione caso per caso guardando alla specifica struttura organizzativa del singolo titolare o responsabile.
A seconda delle attività, delle dimensioni e della struttura organizzativa del titolare o del responsabile, si possono indicare le seguenti buone prassi:

  • individuare le qualifiche e funzioni che sarebbero incompatibili con quella di RPD;
  • redigere regole interne a tale scopo onde evitare conflitti di interessi;
  • prevedere un’illustrazione più articolata dei casi di conflitto di interessi;
  • dichiarare che il RPD non versa in alcuna situazione di conflitto di interessi con riguardo alle funzioni di RPD, al fine di sensibilizzare rispetto al requisito in questione;
  • prevedere specifiche garanzie nelle regole interne e fare in modo che nel segnalare la disponibilità di una posizione lavorativa quale RPD ovvero nel redigere il contratto di servizi si utilizzino formulazioni sufficientemente precise e dettagliate così da prevenire conflitti di interessi.

Al riguardo, si deve ricordare, inoltre, che un conflitto di interessi può assumere varie configurazioni a seconda che il RPD sia designato fra soggetti interni o esterni all’organizzazione.

Il Regolamento, infine, fa riferimento alle attività principali svolte del titolare del trattamento o del responsabile del trattamento per le quali, al considerando 97 è riportato che le attività principali di un titolare del trattamento “riguardano le sue attività primarie ed esulano dal trattamento dei dati personali come attività accessoria”. Con “attività principali” si possono intendere le operazioni essenziali che sono necessarie al raggiungimento degli obiettivi perseguiti dal titolare o dal responsabile del trattamento.

Per altro si consideri che l’espressione “attività principali” non va interpretata nel senso di escludere quei casi in cui il trattamento di dati costituisce una componente inscindibile dalle attività svolte dal titolare o dal responsabile.

Per quanto sopra, concludendo, sono del parere che i soggetti qui presi in esame devono opportunamente organizzarsi con la nomina, al proprio interno, di un RPD che va segnalato come interlocutore di riferimento:

  • per quel determinato cliente;
  • per tutti gli interessati al trattamento dei dati di quel determinato cliente;
  • per l’autorità di controllo nazionale, il Garante della Privacy.

Marcello Colaianni
DPO e Privacy Consultant KHC Certified n. DPO2108
Data Protection Auditor KHC Certified n. DPO2121