L’istituto della Certificazione in Svizzera alla luce del GDPR e della Legge federale sulla protezione dei dati (LPD).

La Svizzera non è Stato membro dell’Unione Europea cionondimeno l’osservanza del Regolamento UE 679/2016 (GDPR) trova applicazione anche qui, sia pur in determinate circostanze. In particolare nelle ipotesi in cui le attività di trattamento:

  1. siano riconducibili alla filiale dell’impresa svizzera che si trovi all’interno dell’Unione europea;
  2. riguardino l’offerta di beni o la prestazione di servizi agli interessati che si trovino nell’Unione, indipendentemente dall’obbligatorietà di un pagamento dell’interessato;
  3. riguardino il monitoraggio del comportamento degli interessati nella misura in cui tale comportamento ha luogo all’interno dell’Unione;
  4. siano riconducibili all’impresa svizzera che assume il ruolo di Responsabile del trattamento, per un’impresa europea, nello svolgimento delle attività di cui al punto “2.”

Per quanto in  premessa, in sede di applicazione del GDPR, le imprese svizzere possono essere interessate alla certificazione per la protezione dei dati personali con riferimento alle proprie attività di trattamento.
Certificazione già contemplata dalla Legge federale sulla Protezione dei Dati – LPD (235.1 del 19/6/1992) che, all’art. 11: Procedura di certificazione, dispone:

  1. <<Per migliorare la protezione e la sicurezza dei dati, i fornitori di sistemi e di programmi di trattamento dei dati, nonché le persone private o gli organi federali che trattano dati personali possono sottoporre i loro sistemi, le loro procedure e la loro organizzazione a una valutazione da parte di organismi di certificazione riconosciuti e indipendenti>>.
  2. <<Il Consiglio federale emana disposizioni sul riconoscimento delle procedure di certificazione e sull’introduzione di un marchio di qualità inerente alla protezione dei dati. Esso tiene conto del diritto internazionale e delle norme tecniche riconosciute a livello internazionale>>.

Ma è la lettura del Messaggio – concernente la revisione della legge federale sulla protezione dei dati (LPD) e il decreto federale concernente l’adesione della Svizzera al Protocollo aggiuntivo dell’8 novembre 2001 alla Convenzione per la protezione delle persone in relazione all’elaborazione automatica dei dati a carattere personale concernente le autorità di controllo e i flussi internazionali di dati – del 19 febbraio 2003 a fornire utili ed ulteriori specificazioni:

  • 2.10 – Art. 11: Procedura di certificazione
    “(…)
  • Devono essere sviluppate sia procedure di certificazione di processi operativi rilevanti per la protezione di dati o di strutture organizzative (audit in materia di protezione di dati) sia la valutazione di sistemi o programmi informatici – cioè di prodotti – per quanto riguarda l’osservanza di standard in materia di protezione di dati.

Dal che emerge che ciò di cui si sta parlando è una certificazione di prodotti, processi e servizi fondata sulla norma UNI CEI EN ISO/IEC 17065: Valutazione della conformità – Requisiti per organismi che certificano prodotti, processi e servizi.

  • La procedura di valutazione deve portare, una volta stabilito che le norme legali e tecniche del ramo sono osservate, al conferimento di un marchio di qualità inerente alla protezione di dati. Questo riconoscimento può essere utilizzato dalle ditte di certificazione per scopi pubblicitari e portato a conoscenza del pubblico. Le autorità e ditte certificate sono escluse dall’obbligo di notifica della loro raccolta di dati di cui all’articolo 11a, se hanno comunicato il risultato della valutazione all’Incaricato della protezione dei dati. Questo alleggerimento ha lo scopo di incentivare.

Il conseguimento della certificazione consente quindi ampia pubblicità circa l’assicurazione sull’idoneità, correttezza ed adeguatezza delle proprie attività di trattamento e disimpegna le ditte certificate dall’obbligo di notifica.

  • Gli organismi che svolgono questa procedura di certificazione devono essere indipendenti, dal punto di vista soprattutto organizzativo ma anche tecnico, dai privati o dalle autorità da valutare. Il riconoscimento di questi organismi dovrà essere regolato dal Consiglio federale nell’ordinanza. È anche immaginabile che gli organismi di certificazione debbano disporre di un accreditamento.
    Inoltre l’Incaricato deve verificare se le procedure di valutazione e il conferimento del marchio di qualità sono compatibili con il diritto vigente. Egli può intervenire mediante gli strumenti previsti dalla LPD (raccomandazione, proposta alla commissione della protezione dei dati).

Ora, pur considerato che in Svizzera è in elaborazione uno standard per procedure uniformi in materia di certificazioni inerenti alla protezione di dati, può essere utile sapere che esiste già, sul mercato, un meccanismo di certificazione conforme al GDPR, accreditato Accredia, e promosso dalla Commissione europea: l’International Scheme for Data Protection ISDP 10003:2018.

Il ricorso ad un siffatto meccanismo di certificazione che, di per sé, fornisce già una molteplicità di assicurazioni e garanzie, può essere strumento chiarificatore dello stato dell’arte in Svizzera e, forse, valido suggerimento per gli obiettivi che la Confederazione elvetica vuole raggiungere.

Qui, infatti, il riferimento alla certificazione si fonda:

  • sull’art. 11 della Legge federale sulla protezione dei dati,
  • sull’Ordinanza  sulle certificazioni in materia di protezione dei dati (OCPD) che, aggiornato al 1° novembre 2016, richiama le norme UNI EN ISO 9001: Sistemi di gestione per la qualità – Requisiti e UNI CEI ISO/IEC 27001: Tecnologie informatiche – Tecniche per la sicurezza – Sistemi di gestione per la sicurezza delle informazioni – Requisiti ed altre ordinanze.

Inoltre, nel documento riepilogativo circa lo stato della certificazione di prodotti e servizi si legge: “Dalla discussione è emerso che per il mercato svizzero una certificazione di prodotti informatici (hardware, software o sistemi per l’elaborazione automatizzata dei dati) è improponibile per ragioni giuridiche, tecniche e finanziarie. Diversi partecipanti al gruppo di lavoro hanno però chiesto di introdurre una certificazione dei servizi”.

L’art. 5 della suddetta ordinanza (RS 235.13), tuttavia, fa riferimento alla Certificazione dei prodotti e più precisamente alla certificazione dei prodotti destinati in prevalenza al trattamento di dati personali o generanti, al momento del loro impiego, dati personali, in particolare relativi all’utente rilevando l’effettiva mancanza circa la normazione di una certificazione dei servizi.

Orbene, un piccolo richiamo alle norme ISO torna utile.
Nell’alveo delle norme ISO di Valutazione della conformità si riconoscono:

  • la norma ISO 17020:2012: Requisiti per il funzionamento di vari tipi di organismi che eseguono ispezioni;
  • la norma ISO 17021:2012: Requisiti per gli organismi che forniscono audit e certificazione di sistemi di gestione;
  • la norma ISO 17024:2012: Requisiti generali per organismi che eseguono la certificazione delle persone;
  • la norma ISO 17025:2018: Requisiti generali per la competenza dei laboratori di prova e di taratura e
  • la norma ISO 17065:2012: Requisiti per organismi che certificano prodotti, processi e servizi.

È proprio quest’ultima, la ISO 17065, a fare al nostro caso.

La norma in discorso, infatti, non è quella fondante su cui si basano gli organismi per la certificazione di un sistema di gestione aziendale ma è quella di accreditamento degli organismi che certificano processi, prodotti e servizi.
É quella richiamata nel GDPR, il regolamento 679/2016, a cui le imprese svizzere devono adeguarsi in presenza delle considerazioni in premessa; è la norma:

  • per la certificazione dei prodotti di cui all’art. 5 dell’ordinanza di RS 235.13,
  • per la certificazione di processi operativi rilevanti per la protezione di dati (v- § 2.10 – Art. 11: Procedura di certificazione Messaggio del 19/2/2003 di revisione della LPD).

In conclusione:
fatto salvo il rispetto delle leggi della Confederazione elvetica, cantonali nonché, in presenza di presupposti, del Regolamento UE 679/2016:

  • la certificazione di prodotti, processi e servizi, di cui alla normativa richiamata, viene soddisfatta se effettuata da un organismo di certificazione accreditato in conformità alla ISO 17065. A questi presupposti è sicuramente allineato lo schema ISDP 10003 di Inveo Srl.
  • la certificazione di sistemi, procedure e dell’organizzazione dei fornitori e delle persone private, di cui all’art. 11 della LPD, se non soddisfatta come sopra, deve necessariamente avvenire in conformità a una o più norme fondate sulla ISO 17021 ovvero sulla norma di accreditamento degli organismi che forniscono certificazioni di sistemi di gestione.

In questo caso, però,  è utile che le direttive emanate dall’incaricato – sui requisiti minimi che un sistema di gestione della protezione dei dati deve adempiere – non si limitino a richiamare la ISO 9001 e la ISO 27001 estendendosi, per esempio, alla linea guida BS 10012:2017: Data protection – Specification for a personal information management system e alla ISO 27552 dal titolo “Security techniques – Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management –  Requirements and guidelines” che, pur rientrando fra le norme della famiglia ISO 27000 riguardanti la sicurezza delle informazioni sembra estendere il proprio campo di applicazione agli aspetti inerenti la gestione dei dati personali.

Marcello Colaianni
Certified DPO e DP Auditor UNI 11697

Certified DP Auditor ISDP 10003:2018 Scheme
Compliance & Management Systems Consultant

 

Annunci

GDPR versus ISO 27001

È ormai noto a tutti che la certificazione di un sistema di gestione della sicurezza delle informazioni (SGSI) non è valida quale evidenza circa la conformità dell’organizzazione alla normativa per la Data Protection.

Al contrario si può affermare che, pur soddisfatti gli altri requisiti, laddove non si abbia riscontro circa le dovute assicurazioni in merito alla privacy ed alla protezione dei dati  personali, la certificazione del SGSI non è garantita.
Lo si evince dal combinato disposto di cui all’obiettivo A.18.1.4 dell’appendice A ed al punto 6.1.3 “Trattamento del rischio relativo alla sicurezza delle informazioni” della ISO 27001.

Una lettura trasversale nei suddetti termini suggerisce quanto diventi fondamentale, oltre che opportuna, una certificazione di 3a parte di un meccanismo conforme agli articoli 42 e 43 del Regolamento UE 679.

È, in altre parole, quasi come dire che occorre verificare l’esistenza di una certificazione pro GDPR, o almeno la presenza dei presupposti di conformità al GDPR, per poter avviare l’iter per la certificazione ISO 27001 . È come, mi si permetta il parallelismo, quando le SOA devono verificare preliminarmente l’esistenza della certificazione ISO 9001 per il rilascio delle attestazioni richieste.

Se così è, appaiono evidenti le molteplici considerazioni che ne conseguono.

È conditio sine qua non che gli auditor 27001 coinvolti nell’audit, o almeno l’OdC, siano depositari di adeguate conoscenze in materia di data protection. In questo caso alcuni OdC potrebbero decidere di avvalersi, in alternativa agli esperti tecnici, di auditor che abbiano anche una certificazione secondo la norma UNI 11697. Ciò anche per dare ancora più peso e valore alla certificazione rilasciata.

Ben immaginabili possono essere le conseguenze di un siffatto ragionamento.
Si pensi ad un’organizzazione che abbia sia la certificazione ISO 27001 sia quella ex GDPR.

Quali potrebbero essere gli effetti qualora, in sede di verifica annuale, la stessa organizzazione si vedesse revocare il certificato di conformità al Regolamento? Oltre alla revoca del certificato, debitamente motivata, che l’OdC deve obbligatoriamente trasmettere al Garante privacy, c’è anche il rischio di vedersi, conseguentemente, revocare la certificazione ISO 27001 data la sopraggiunta inosservanza alla normativa privacy? E laddove l’Organismo coinvolto fosse lo stesso per entrambi gli schemi?

E cosa dire riguardo alla verifiche ispettive di 2a parte effettuate dalle aziende clienti?
Si pensi, per esempio, ad una multinazionale le cui paghe dei dipendenti sono gestite in outsourcing.
In sede di qualificazione dell’azienda appaltatrice verrà richiesto il soddisfacimento dei requisiti della ISO 27001, del Regolamento Ue e di quanto ad esso correlato, o di entrambe le normative o altro ancora come ulteriori evidenze in materia di Disaster Recovery o di Business Continuity Management? E quanto approfondite saranno queste verifiche?
Forse, “più semplicemente”, basterà fornire l’evidenza di una doppia certificazione di 3a parte?

Non spetta al sottoscritto dettare comportamenti univoci, questi competono sicuramente ad altri ma, se vogliamo essere allineati al dettato normativo – e in questa sede è significativa la relazione che viene a porsi fra norme di legge con valenza europea, oltre che nazionale, e norme di sistema con valenza internazionale, oltre che italiana – non vedo molte alternative alla suddetta interpretazione, almeno fino ad oggi.

A questo punto, come si suol dire, ai posteri l’ardua sentenza.

Marcello Colaianni
Compliance & Management Systems Consultant/Auditor
DPO UNI11697, Privacy Consultant e DP Auditor Certified

 

Il RTDP aziendale, questo sconosciuto!

Con l’entrata in vigore del GDPR nasce una corrente di pensiero secondo cui, ancora non ho capito su che base, il RTDP aziendale non s’ha più da nominare.

Forse perché l’art. 28/679/2016, con riguardo alla sua nomina fa riferimento alla stipulazione di un contratto e, quindi, a qualunque altro atto giuridico? … e che per questo motivo suona male stipulare un contratto ad hoc nei confronti di un dipendente?
[A riguardo invito alla lettura del mio articolo: Il RTDP ed il DPO quali figure interne all’Azienda in adempimento al Reg. UE 679/2016 con riguardo al trattamento dei dati personali].

C’è, sembrerebbe, la naturale propensione a pensare, per il RTDP, esclusivamente ad un professionista esterno o ad una società di consulenza esterna, rispetto al TTDP (Titolare del Trattamento dei Dati Personali).

Se però pensiamo a tutte quelle organizzazioni che, indipendentemente dal ricorso ad un consulente, decidono di strutturarsi adeguatamente, è del tutto ragionevole che al proprio interno nominino uno o più RTDP (persone fisiche).

D’altra parte occorre ricordare che l’art. 4 definisce Responsabile del Trattamento dei Dati Personali (RTDP) la persona fisica (o giuridica, l’autorità pubblica, il servizio o altro organismo) che tratta dati personali per conto del titolare del trattamento e mi viene strano credere che, diversamente, la materia della protezione dei dati personali venga gestita e monitorata direttamente dal Rappresentante legale della società (di capitali) in tutt’altre faccende affaccendato.

Nei suddetti termini, allora, si scopre che la nomina del RTDP diventa necessaria e non più facoltativa, quanto meno per alleggerire le incombenze al TTDP.
Nomina, fra l’altro, ben più versatile di quella del RPD/DPO per la quale – a parità di altri presupposti – occorre dare idonee garanzie riguardo al rischio di possibili conflitti d’interesse.

Marcello Colaianni
DPO e Privacy Consultant KHC Certified n. 2108
Data Protection Auditor KHC Certified n. 2121

 

Normativa volontaria e normativa cogente: quali priorità, quali relazioni.

I Sistemi di Gestione Aziendale certificati sono ormai una realtà consolidata e diffusa fra le multinazionali così come fra le PMI e le microimprese.

Sono uno strumento che comunica, o dovrebbe comunicare, quanto l’Organizzazione è allineata, crede e promuove i propri processi all’insegna del miglioramento continuo (ISO 9001), della propria sensibilità all’ambiente (ISO 14001) o alla sicurezza sul lavoro (OHSAS 18001), per fare qualche esempio, ponendo l’attenzione nei confronti dei suoi molteplici interlocutori e parti interessate.

L’implementazione di questi sistemi, è noto, nasce volontaria e diventa obbligatoria nel momento in cui l’Organizzazione decide di adeguarvisi. Nasce, paradossalmente, obbligatoria quando la certificazione di questo o quel sistema di gestione aziendale è richiesta per la partecipazione a bandi e gare d’appalto.

Ma qual è, prima di ogni altra cosa, l’utilità di un sistema di gestione aziendale certificato?
È quella di differenziarsi sul mercato, di comunicare al mondo di essere migliore dei propri competitor, di dare evidenza che l’Organizzazione oltre a rispettare i requisiti di legge va oltre impegnandosi in iniziative di sviluppo sostenibile e in comportamenti sempre più virtuosi.

Alcune norme di sistema, al proprio interno, prevedono puntualmente l’osservanza ai requisiti di legge e, quindi, il soddisfacimento preliminare del dettato legislativo, pena l’impossibilità per l’impresa di conseguire la relativa certificazione.

Lo dice l’ISO 14001 stabilendo che le prescrizioni legali che riguardano gli aspetti ambientali dell’Organizzazione sono tenute in considerazione, ovvero osservate, nello stabilire, attuare e mantenere attivo il proprio sistema di gestione ambientale.
In altre parole, per prima cosa l’Organizzazione si adegua, per quanto applicabile, alle “Norme in materia ambientale” ex D. Lgs. 152/2006 e smi e leggi collegate, quindi, si attiva ad osservanza di quanto previsto dalla norma di sistema di gestione ambientale UNI EN ISO 14001 per propri fini certificativi.

Nella OHSAS 18001, allo stesso modo, è scritto che “L’organizzazione deve stabilire, attuare e mantenere attiva una procedura/e per identificare e accedere ai requisiti per la S&SL di legge e di altro tipo ad essa applicabili … e dovrà assicurare che tali requisiti di legge e di altro tipo, che essa sottoscrive, siano tenuti in conto per la istituzione, applicazione e mantenimento in attività del sistema di gestione della S&SL”.
Ciò significa che l’azienda, innanzitutto, dovrà attenersi, per quanto applicabile, al dettato normativo ex D. Lgs. 81/08 e smi e leggi collegate in materia di sicurezza sul lavoro e, solo in un secondo momento, preoccuparsi di allinearsi ai requisiti della norma OHSAS 18001.

Si può quindi affermare senza indugio che l’osservanza della legislazione nazionale sia prioritaria e preliminare a qualunque altro ed ulteriore adempimento previsto dalla specifica normativa di sistema.

E per la Qualità ISO 9001?
La norma UNI EN ISO 9001 specifica i requisiti di un sistema di gestione per la qualità quando un’organizzazione:

  1. ha l’esigenza di dimostrare la propria capacità di fornire con regolarità prodotti o servizi che soddisfano i requisiti del cliente e i requisiti cogenti applicabili; e
  2. mira ad accrescere la soddisfazione del cliente tramite l’applicazione efficace del sistema, compresi i processi per migliorare il sistema stesso e assicurare la conformità ai requisiti del cliente e ai requisiti cogenti applicabili.

E ribadisce che: “fra i benefici potenziali per un’organizzazione, derivanti dall’attuazione di un sistema di gestione per la qualità basato sulla presente norma internazionale, c’è la capacità di fornire con regolarità prodotti e servizi che soddisfino i requisiti del cliente e quelli cogenti applicabili”.

Ora, assunto che per requisiti cogenti applicabili si intendono <<i requisiti specificati da un organismo avente potere legislativo ovvero specificati da un’autorità incaricata da un organismo avente potere legislativo>>, ne consegue che in questo caso non interessa più l’obiettivo a cui l’Organizzazione vuole riferirsi, la Certificazione ambientale piuttosto che la Certificazione sulla Sicurezza sul lavoro.

L’attenzione si sposta pesantemente su (tutti) i requisiti cogenti applicabili all’Organizzazione:

  • nella fornitura di prodotti,
  • nella fornitura di servizi.

E questa é una riflessione di grande rilevanza perché legittima gli Auditor per la qualità, in sede di audit di 2a e 3a parte in particolar modo,  ad estendere il loro piano di audit e verificare il livello di osservanza dei requisiti di legge e regolamentari in relazione al settore merceologico in cui opera l’organizzazione oggetto dell’audit.

Esemplificando, anche in forza dei concetti di “Ambiente di lavoro” e di “Dati personali” richiamati dalla 9001, nell’azienda edile, meccanica o siderurgica, per esempio, l’attenzione degli auditor si orienterà prevalentemente sugli aspetti riguardanti la sicurezza sul lavoro essendo strettamente connessi alla fornitura di prodotti.
Allo stesso modo, nelle imprese operanti nei settori delle telecomunicazioni e dell’information technology, il gruppo di audit sarà più sensibilizzato a verificare il grado di applicazione ed osservanza della legislazione vigente in materia di protezione dei dati personali, con riferimento al D. Lgs. 196/2003 e smi, oggi, ed al Reg. Ue 679/2016, dal 25 maggio 2018, essendo, questa, strettamente connessa alla fornitura di servizi.
E l’organizzazione che si occupa di bonifiche ambientali o di trattamento rifiuti sarà inevitabilmente auditata anche per gli aspetti correlati ai requisiti di legge ambientali perché questi sono significativamente impattanti per la fornitura dei suoi servizi.

Ciò premesso, in sede di audit per la qualità, al di là di qualunque mio pensiero e convincimento, c’è da chiedersi se la non conformità di un requisito di legge o regolamentare rilevata sia da considerarsi tale da:

  • impedire il conseguimento della certificazione;
  • interrompere il processo di certificazione;
  • revocare la certificazione;
  • riconsiderare la qualificazione del fornitore

ciò, sebbene ci si trovi fuori dal contesto di una ISO 14001, di una OHSAS 18001, di una ISO 27001 o di un Data Protection Management System.

                                 Marcello Colaianni
Business Coach – Mentor – Compliance Consultant

 

 

 

 

La Valutazione dei Rischi: attività preliminare ed inclusiva, della DPIA, ad osservanza dei requisiti del GDPR.

La Valutazione dei Rischi (VdR) e la Valutazione d’Impatto (Data Protection Impact Assessment – DPIA) sono due facce della stessa medaglia previste nel Reg. 679/2016.

La VdR è un’attività sempre obbligatoria (v. art. 24/679/2016, c. 1), coinvolge tutte le Organizzazioni ed è preliminare nell’osservanza del GDPR.
Essa é caratterizzata dall’attribuzione di valori di rischio ai dati personali ed al loro trattamento per poter dimostrare di avere tutto sotto controllo e di operare con liceità, trasparenza e correttezza.

La DPIA é esplicitamente richiesta nelle ipotesi in cui i Titolari effettuano:

  • un trattamento di dati personali che, “prevedendo in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche”;
  • a) una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche;
  • b) il trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9, paragrafo 1, o di dati relativi a condanne penali e a reati di cui all’articolo 10; o
  • c) la sorveglianza sistematica su larga scala di una zona accessibile al pubblico;
  • attività di trattamento riconducibili a tutti quei casi che saranno contemplati nell’elenco delle tipologie di trattamenti soggetti al requisito di una valutazione d’impatto sulla protezione dei dati ai sensi del paragrafo 1 ex art. 35.

Per la Valutazione dei Rischi, così come per la DPIA, l’adozione ed applicazione della norma UNI ISO 31000 come metodologia di “Gestione del rischio”  è sicuramente un approccio estremamente valido per dare evidenza della conformità ai requisiti del GDPR.

Ciò premesso, al di là delle condizioni di obbligatorietà della DPIA, l’applicazione sistematica e preliminare della Valutazione dei rischi, aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, può considerarsi inclusiva della valutazione d’impatto e sicuramente utile per una più agevole interazione con gli Interessati e l’Autorità di controllo.

                          Marcello Colaianni
DPO e Privacy Consultant KHC Certified n. 2108
Data Protection Auditor KHC Certified n. 2121

 

 

 

 

 

 

 

Il RTDP ed il DPO quali figure interne all’Azienda in adempimento al Reg. UE 679/2016 con riguardo al trattamento dei dati personali

Il GDPR, ovvero il Reg. UE 679/2016, conferma la figura del Responsabile del Trattamento dei Dati Personali (RTDP) ed introduce quella nuova di Data Protection Officer (DPO), ovvero di Responsabile della Protezione dei Dati.

Come da relativa definizione, <<responsabile del trattamento»: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento>>, si evince che il RTDP può essere un dipendente dell’Organizzazione.

Ciò nonostante, dalla partecipazione a convegni e dal confronto con esimi colleghi, mi sento dire che la prassi sarà quella di affidare in outsourcing i compiti attribuiti a questo soggetto della Data Protection.
Non capisco il perché? Non c’è alcun ostacolo o impedimento di carattere normativo che precluda la nomina di un dipendente al ruolo di RTDP.

La contrattualizzazione ad hoc del rapporto fra il Titolare del Trattamento dei Dati Personali (TTDP) ed il RTDP non impedisce che sia un dipendente a ricoprire siffatto ruolo.

In concreto: laddove sussista già un rapporto di lavoro, il dipendente designato ed il suo datore di lavoro sottoscriveranno, a latere, un contratto apposito nel quale le parti concordano compiti e doveri del RTDP nonché un compenso ed un inquadramento proporzionato al ruolo ed alle nuove responsabilità.

Va da sé che in questa sede si dovrà tenere in debita considerazione l’esistenza dei presupposti in materia di competenze e di altre skill che ci si aspetta che un RTDP abbia, la sua collocazione nell’organigramma nonché i termini e le modalità di riconoscimento di questo compenso aggiuntivo.

Laddove, invece, venisse identificato un dipendente nominato ad hoc, il contratto in discorso andrà ad integrare quello riguardante il rapporto di lavoro dipendente.

Analogo discorso vale per il DPO per il quale è stabilito che: “Il responsabile della protezione dei dati può essere un dipendente del titolare del trattamento o del responsabile del trattamento oppure assolvere i suoi compiti in base a un contratto di servizi”.

Il DPO, è vero, è in conflitto di interessi se ricopre ruoli come quelli di amministratore delegato, responsabile operativo, responsabile finanziario, responsabile sanitario, direzione marketing, direzione risorse umane, responsabile IT, o altre posizioni gerarchicamente inferiori se queste ultime comportano la determinazione di finalità o mezzi del trattamento …

… A meno che si identifichi un dipendente che, in via esclusiva, svolge i compiti propri di un DPO senza sovrapposizioni di sorta.

Anche in questo caso, ben inteso, vanno debitamente considerate le competenze dure e morbide che gli sono proprie, il rapporto gerarchico con il vertice aziendale e, quindi, la sua adeguata collocazione in organigramma e, naturalmente, il riconoscimento anche economico in virtù del proprio ruolo e dei suoi compiti.

Le suddette considerazioni sono volte a chiarire gli effettivi margini di manovra per qualunque Organizzazione sebbene, operativamente, la decisione di nominare un RTDP interno possa rivelarsi non semplice per una serie di motivi.

Ciò premesso, identificate le molteplici figure della Data Protection, il ricorso ai consulenti esterni è sicuramente utile ed opportuno.

                          Marcello Colaianni
DPO e Privacy Consultant KHC Certified n. 2108
Data Protection Auditor KHC Certified n. 2121

 

Coaching & Compliance

La compliance, ovvero la conformità alla normativa riferita a diversi ambiti riguardanti, per esempio, la Sicurezza sul lavoro, il nuovo Regolamento UE sulla protezione dei dati personali, i reati 231 e l’Anticorruzione spaziando ai diversi Sistemi di gestione aziendale, pone le aziende ad istituzionalizzare funzioni ad hoc con ruoli e responsabilità ben precise.

Quanto sopra sollecita, in maggior misura, le Organizzazioni più strutturate dove job description e procedure forniscono le più appropriate linee guida di comportamento.

L’esperienza ormai consolidata dimostra, tuttavia, che per passare dalle buone intenzioni ai fatti è UTILE che si parta da chiare Vision e Mission a cura del vertice aziendale condivise dai diversi livelli e funzioni dell’Organizzazione.
Tutto ciò presuppone una coesa e allineata interazione fra tutti i soggetti aziendali che solo in TEAM possono raggiungere gli obiettivi prefissati.

La condivisione di un obiettivo comune, il mutuo soccorso, l’orgoglio di appartenenza ad una stessa squadra, funzione, azienda concorrono a muovere ogni individuo e dare il meglio di sé consapevole del suo contributo all’interno dell’operatività di tutti.
Questo comporta il riconoscimento dei propri superiori che, con l’autorevolezza, e non l’autorità, il carisma e l’esempio, trascinano le folle nel raggiungimento dei traguardi, sostengono la stima fra i colleghi e la capacità di cogliere il meglio dai propri collaboratori.

Se l’Organizzazione può ricorrere a questi fondamentali ingredienti dove il rispetto ed il riconoscimento dell’altrui lavoro sono base e motore di ogni iniziativa volta all’innovazione ed all’evoluzione della cultura aziendale … siamo a buon punto.
Se, invece, il clima è pesante e il malcontento aleggia nei vari ambienti e fra le persone, se prevale l’individualità sul comune interesse, viene a mancare l’humus per un terreno fertile e pronto a coltivare i semi del successo…

… E per trovare i semi giusti da piantare ed innaffiare periodicamente occorre guardarsi intorno, tornare alle vecchie, ma sempre valide, tecniche di MBWA (Management By Walking Around) e verificare ciò che manca perché l’azienda si renda conto, finalmente, che fra tutte le risorse a propria disposizione è la Risorsa Umana la più bisognosa di attenzioni.

Solo dopo questo passo, con le idee più chiare e ben formate, si capisce cosa occorre:

  1. uno strumento che possa risvegliare gli animi delle persone e ricondurle ad un comune senso di sé e degli altri dove tutte sono sulla stessa barca ed ognuna mette a disposizione le proprie competenze e capacità e, ancor più importante, le proprie potenzialità;
  2. uno strumento grazie al quale ogni lavoratore possa riscoprire proprie risorse, latenti o fin troppo a lungo sopite, elicitandole sempre più e coniugarle con i nuovi bisogni aziendali;
  3. uno strumento che possa garantire, nel tempo, la continuità di un know how che, nel rispetto delle tradizioni, sappia innovare e rinnovarsi continuamente consentendo, all’Organizzazione, di evolvere ed evolversi, sempre.

Coaching e Mentoring sono lo strumento!

Il Coaching che, secondo esigenza:

  1. ricongiunge le ambizioni aziendali e delle persone che vi lavorano;
  2. rivela nuove esigenze aziendali e le potenzialità di chi ritrova rinnovato e riconosciuto valore nell’assunzione di nuove responsabilità;
  3. riallinea i diversi ruoli portando a scoprire le qualità utili al raggiungimento del comune traguardo …

… ed il Mentoring che, al proprio interno o ricorrendo a Mentor esterni depositari di differenziate esperienze, si rivela guida utile nell’istituzione di nuove funzioni o nell’istruzione delle abilità necessarie,”qui e ora”, per dare il meglio di sé, oggi e domani.

                 Marcello Colaianni
Consulente – Business Coach – Formatore

Il COACHING al servizio della QUALITA’

La norma UNI EN ISO 9001 “Sistemi di gestione per la qualità – Requisiti” si rinnova introducendo prepotentemente concetti, già richiamati implicitamente nelle precedenti edizioni, che trovano qui una chiara ed incisiva collocazione. Mi riferisco a quelli di contesto, parti interessate e di risk based thinking.

In questa sede, però, mi voglio soffermare sull’importanza del Mentoring e del Coaching quali strumenti fondamentali nell’applicazione del Sistema di Gestione per la Qualità.

Una preliminare definizione dei suddetti termini è sicuramente opportuna:

  • il Mentoring è l’attività con cui il mentor, con competenze di coaching, accompagna l’individuo nella crescita e sviluppo personale nel contesto lavorativo, familiare o sociale forte, anche, dell’esperienza personale maturata;
  • il Coaching è una professione di affiancamento alla persona con cui il coach facilita, anche con la motivazione, l’elicitazione delle risorse dell’individuo.
  • Per una maggiore comprensione dei termini Mentoring e Coaching si rimanda al link ed agli articoli inseriti nel mio blog.

A farne riferimento, non è un caso, sono i paragrafi A.7 “Conoscenza organizzativa” della 9001 e 6.3.3 “Coinvolgimento e motivazione delle persone” della UNI EN ISO 9004 “Gestire un’organizzazione per il successo durevole – L’approccio della gestione per la qualità”.

  • Al § 9001/A.7 “Conoscenza organizzativa” il requisito prevede:
    Il punto 7.1.6 della presente norma internazionale tratta l’esigenza di determinare e gestire la conoscenza in possesso dell’organizzazione, per assicurare il funzionamento dei suoi processi e che essa possa conseguire la conformità di prodotti e servizi.
    I requisiti che riguardano la conoscenza organizzativa sono stati introdotti allo scopo di:
    a) salvaguardare l’organizzazione dalla perdita delle conoscenze, per esempio, a causa dell’avvicendamento del personale e della mancata acquisizione e condivisione delle informazioni e
    b) incoraggiare l’organizzazione ad acquisire conoscenze, per esempio, attraverso l’apprendimento dall’esperienza, il mentoring e il benchmarking.
  • Al § 9004/6.3.3 “Coinvolgimento e motivazione delle persone” il paragrafo prevede che:
    L’organizzazione motivi le persone affinché comprendano il significato e l’importanza delle loro responsabilità ed attività, in relazione alla creazione ed all’apporto di valore per i clienti e per le altre parti interessate.
    Per accrescere il coinvolgimento e la motivazione delle proprie persone, l’organizzazione deve prendere in considerazione attività quali:
    – sviluppare un processo per condividere le conoscenze e per utilizzare la competenza delle persone, per esempio uno schema per raccogliere le idee per il miglioramento;
    – introdurre un appropriato sistema di riconoscimenti e premi, basato su una valutazione individuale di quanto realizzato dalle persone;
    – predisporre un sistema di qualificazione delle abilità e una pianificazione delle carriere, allo scopo di promuovere lo sviluppo personale;
    – riesaminare in continuo il livello di soddisfazione e le esigenze ed aspettative delle persone;
    – offrire opportunità di mentoring e coaching.

 Ci si rende conto, quindi, di quanto sia fondamentale il ricorso al Coaching ed al Mentoring ai fini dell’implementazione e miglioramento continuo del Sistema di Gestione per la Qualità … e non solo!

Il Coaching, infatti, si sviluppa nelle diverse tipologie adattative alle specifiche necessità aziendali, latu sensu, rivolgendosi, secondo esigenza, all’organizzazione nel suo insieme (Corporate/Organizational coaching), al Top management (Executive c.), agli attori della sicurezza sul lavoro (Safety c.), allo sviluppo ed omogeneità del brand aziendale (Partnership c.), al raggiungimento di obiettivi comuni (Team c.) … tenendo in  debito conto gli aspetti di:

  • acknowledging che, nel riconoscere il comportamento ed i contributi positivi della persona, migliora la motivazione, la produttività, la messa a fuoco degli obiettivi e la soddisfazione lavorativa;
  • celebrating quale fattore essenziale per conferire significato alla vita.