L’istituto della Certificazione in Svizzera alla luce del GDPR e della Legge federale sulla protezione dei dati (LPD).

La Svizzera non è Stato membro dell’Unione Europea cionondimeno l’osservanza del Regolamento UE 679/2016 (GDPR) trova applicazione anche qui, sia pur in determinate circostanze. In particolare nelle ipotesi in cui le attività di trattamento:

  1. siano riconducibili alla filiale dell’impresa svizzera che si trovi all’interno dell’Unione europea;
  2. riguardino l’offerta di beni o la prestazione di servizi agli interessati che si trovino nell’Unione, indipendentemente dall’obbligatorietà di un pagamento dell’interessato;
  3. riguardino il monitoraggio del comportamento degli interessati nella misura in cui tale comportamento ha luogo all’interno dell’Unione;
  4. siano riconducibili all’impresa svizzera che assume il ruolo di Responsabile del trattamento, per un’impresa europea, nello svolgimento delle attività di cui al punto “2.”

Per quanto in  premessa, in sede di applicazione del GDPR, le imprese svizzere possono essere interessate alla certificazione per la protezione dei dati personali con riferimento alle proprie attività di trattamento.
Certificazione già contemplata dalla Legge federale sulla Protezione dei Dati – LPD (235.1 del 19/6/1992) che, all’art. 11: Procedura di certificazione, dispone:

  1. <<Per migliorare la protezione e la sicurezza dei dati, i fornitori di sistemi e di programmi di trattamento dei dati, nonché le persone private o gli organi federali che trattano dati personali possono sottoporre i loro sistemi, le loro procedure e la loro organizzazione a una valutazione da parte di organismi di certificazione riconosciuti e indipendenti>>.
  2. <<Il Consiglio federale emana disposizioni sul riconoscimento delle procedure di certificazione e sull’introduzione di un marchio di qualità inerente alla protezione dei dati. Esso tiene conto del diritto internazionale e delle norme tecniche riconosciute a livello internazionale>>.

Ma è la lettura del Messaggio – concernente la revisione della legge federale sulla protezione dei dati (LPD) e il decreto federale concernente l’adesione della Svizzera al Protocollo aggiuntivo dell’8 novembre 2001 alla Convenzione per la protezione delle persone in relazione all’elaborazione automatica dei dati a carattere personale concernente le autorità di controllo e i flussi internazionali di dati – del 19 febbraio 2003 a fornire utili ed ulteriori specificazioni:

  • 2.10 – Art. 11: Procedura di certificazione
    “(…)
  • Devono essere sviluppate sia procedure di certificazione di processi operativi rilevanti per la protezione di dati o di strutture organizzative (audit in materia di protezione di dati) sia la valutazione di sistemi o programmi informatici – cioè di prodotti – per quanto riguarda l’osservanza di standard in materia di protezione di dati.

Dal che emerge che ciò di cui si sta parlando è una certificazione di prodotti, processi e servizi fondata sulla norma UNI CEI EN ISO/IEC 17065: Valutazione della conformità – Requisiti per organismi che certificano prodotti, processi e servizi.

  • La procedura di valutazione deve portare, una volta stabilito che le norme legali e tecniche del ramo sono osservate, al conferimento di un marchio di qualità inerente alla protezione di dati. Questo riconoscimento può essere utilizzato dalle ditte di certificazione per scopi pubblicitari e portato a conoscenza del pubblico. Le autorità e ditte certificate sono escluse dall’obbligo di notifica della loro raccolta di dati di cui all’articolo 11a, se hanno comunicato il risultato della valutazione all’Incaricato della protezione dei dati. Questo alleggerimento ha lo scopo di incentivare.

Il conseguimento della certificazione consente quindi ampia pubblicità circa l’assicurazione sull’idoneità, correttezza ed adeguatezza delle proprie attività di trattamento e disimpegna le ditte certificate dall’obbligo di notifica.

  • Gli organismi che svolgono questa procedura di certificazione devono essere indipendenti, dal punto di vista soprattutto organizzativo ma anche tecnico, dai privati o dalle autorità da valutare. Il riconoscimento di questi organismi dovrà essere regolato dal Consiglio federale nell’ordinanza. È anche immaginabile che gli organismi di certificazione debbano disporre di un accreditamento.
    Inoltre l’Incaricato deve verificare se le procedure di valutazione e il conferimento del marchio di qualità sono compatibili con il diritto vigente. Egli può intervenire mediante gli strumenti previsti dalla LPD (raccomandazione, proposta alla commissione della protezione dei dati).

Ora, pur considerato che in Svizzera è in elaborazione uno standard per procedure uniformi in materia di certificazioni inerenti alla protezione di dati, può essere utile sapere che esiste già, sul mercato, un meccanismo di certificazione conforme al GDPR, accreditato Accredia, e promosso dalla Commissione europea: l’International Scheme for Data Protection ISDP 10003:2018.

Il ricorso ad un siffatto meccanismo di certificazione che, di per sé, fornisce già una molteplicità di assicurazioni e garanzie, può essere strumento chiarificatore dello stato dell’arte in Svizzera e, forse, valido suggerimento per gli obiettivi che la Confederazione elvetica vuole raggiungere.

Qui, infatti, il riferimento alla certificazione si fonda:

  • sull’art. 11 della Legge federale sulla protezione dei dati,
  • sull’Ordinanza  sulle certificazioni in materia di protezione dei dati (OCPD) che, aggiornato al 1° novembre 2016, richiama le norme UNI EN ISO 9001: Sistemi di gestione per la qualità – Requisiti e UNI CEI ISO/IEC 27001: Tecnologie informatiche – Tecniche per la sicurezza – Sistemi di gestione per la sicurezza delle informazioni – Requisiti ed altre ordinanze.

Inoltre, nel documento riepilogativo circa lo stato della certificazione di prodotti e servizi si legge: “Dalla discussione è emerso che per il mercato svizzero una certificazione di prodotti informatici (hardware, software o sistemi per l’elaborazione automatizzata dei dati) è improponibile per ragioni giuridiche, tecniche e finanziarie. Diversi partecipanti al gruppo di lavoro hanno però chiesto di introdurre una certificazione dei servizi”.

L’art. 5 della suddetta ordinanza (RS 235.13), tuttavia, fa riferimento alla Certificazione dei prodotti e più precisamente alla certificazione dei prodotti destinati in prevalenza al trattamento di dati personali o generanti, al momento del loro impiego, dati personali, in particolare relativi all’utente rilevando l’effettiva mancanza circa la normazione di una certificazione dei servizi.

Orbene, un piccolo richiamo alle norme ISO torna utile.
Nell’alveo delle norme ISO di Valutazione della conformità si riconoscono:

  • la norma ISO 17020:2012: Requisiti per il funzionamento di vari tipi di organismi che eseguono ispezioni;
  • la norma ISO 17021:2012: Requisiti per gli organismi che forniscono audit e certificazione di sistemi di gestione;
  • la norma ISO 17024:2012: Requisiti generali per organismi che eseguono la certificazione delle persone;
  • la norma ISO 17025:2018: Requisiti generali per la competenza dei laboratori di prova e di taratura e
  • la norma ISO 17065:2012: Requisiti per organismi che certificano prodotti, processi e servizi.

È proprio quest’ultima, la ISO 17065, a fare al nostro caso.

La norma in discorso, infatti, non è quella fondante su cui si basano gli organismi per la certificazione di un sistema di gestione aziendale ma è quella di accreditamento degli organismi che certificano processi, prodotti e servizi.
É quella richiamata nel GDPR, il regolamento 679/2016, a cui le imprese svizzere devono adeguarsi in presenza delle considerazioni in premessa; è la norma:

  • per la certificazione dei prodotti di cui all’art. 5 dell’ordinanza di RS 235.13,
  • per la certificazione di processi operativi rilevanti per la protezione di dati (v- § 2.10 – Art. 11: Procedura di certificazione Messaggio del 19/2/2003 di revisione della LPD).

In conclusione:
fatto salvo il rispetto delle leggi della Confederazione elvetica, cantonali nonché, in presenza di presupposti, del Regolamento UE 679/2016:

  • la certificazione di prodotti, processi e servizi, di cui alla normativa richiamata, viene soddisfatta se effettuata da un organismo di certificazione accreditato in conformità alla ISO 17065. A questi presupposti è sicuramente allineato lo schema ISDP 10003 di Inveo Srl.
  • la certificazione di sistemi, procedure e dell’organizzazione dei fornitori e delle persone private, di cui all’art. 11 della LPD, se non soddisfatta come sopra, deve necessariamente avvenire in conformità a una o più norme fondate sulla ISO 17021 ovvero sulla norma di accreditamento degli organismi che forniscono certificazioni di sistemi di gestione.

In questo caso, però,  è utile che le direttive emanate dall’incaricato – sui requisiti minimi che un sistema di gestione della protezione dei dati deve adempiere – non si limitino a richiamare la ISO 9001 e la ISO 27001 estendendosi, per esempio, alla linea guida BS 10012:2017: Data protection – Specification for a personal information management system e alla ISO 27552 dal titolo “Security techniques – Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management –  Requirements and guidelines” che, pur rientrando fra le norme della famiglia ISO 27000 riguardanti la sicurezza delle informazioni sembra estendere il proprio campo di applicazione agli aspetti inerenti la gestione dei dati personali.

Marcello Colaianni
Certified DPO e DP Auditor UNI 11697

Certified DP Auditor ISDP 10003:2018 Scheme
Compliance & Management Systems Consultant

 

Annunci

I Conflitti d’interesse del Responsabile della protezione dei dati (RPD/DPO)

Il presente articolo propone una chiave di lettura un po’ diversa e meno perentoria rispetto a quello dal titolo: <<DPO e Responsabile del trattamento: 2 facce della stessa medaglia?>> pubblicato il 28 dicembre 2018.
L’esigenza di soffermarsi su altre considerazioni è emersa dirompente alla luce delle esigenze manifestate a gran voce da diversi Titolari e Responsabili miei clienti e da situazioni che mi trovo, professionalmente, a constatare quasi quotidianamente.

Resta valido il ragionamento per il quale il Titolare (ed il Responsabile) si assicura che eventuali altri compiti e funzioni svolte dal DPO non diano adito a un conflitto di interessi.
Le linee guida dell’Articolo 29 Data Protection Working Party si sono già bene espresse sull’opportunità di evitare possibili situazioni di conflitto d’interesse, dentro l’organizzazione – riguardo a ruoli manageriali di vertice (amministratore delegato, responsabile operativo, responsabile finanziario, responsabile sanitario, direzione marketing, direzione risorse umane, responsabile IT), ma anche rispetto a posizioni gerarchicamente inferiori se queste ultime comportano la determinazione di finalità o mezzi del trattamento – e anche in ipotesi di nomina di un DPO esterno al quale si chieda di rappresentare il titolare o il responsabile in un giudizio che tocchi problematiche di protezione dei dati.
Qui, il DPO avvocato non può, evidentemente, rappresentare in giudizio il proprio Titolare.

Se con riferimento alla designazione interna l’orientamento è piuttosto chiaro, l’eventuale nomina esterna del DPO suggerisce di valutare ogni singolo caso per l’oggettivo, e soggettivo, rischio di porre in essere un conflitto d’interessi il che porta all’inevitabile conseguenza di soprassedere all’assunzione del ruolo in discorso.

Assunto che il conflitto di interessi è quella condizione giuridica che si verifica quando viene affidata un’alta responsabilità decisionale a un soggetto che ha interessi personali o professionali in contrasto con l’imparzialità richiesta da tale responsabilità, che può venire meno a causa degli interessi in causa, l’analisi del singolo caso può, nel rispetto dei requisiti di legge, portare ad alcune considerazioni piuttosto interessanti.

Per esempio: il consulente in materia di sicurezza sul lavoro, indubbiamente, effettua trattamenti di dati personali. Per questi motivi viene nominato Responsabile esterno per i dati del Titolare trattati specificatamente in ottemperanza all’oggetto del relativo contratto di consulenza.
È anche vero che nel contratto di nomina del consulente a RTDP, è il Titolare che impartisce istruzioni scritte sulle condizioni e modalità di trattamento dei propri dati nell’espletamento della consulenza; ciò conformemente al dettato ex art. 28/679/2016.
Non è il Consulente ad avere un ruolo che comporti la definizione delle finalità o modalità del trattamento di dati personali.

La domanda da porsi, a questo punto è: <<qual è il conflitto d’interessi che si pone, per la protezione dei dati personali, laddove il consulente in materia di sicurezza sul lavoro venga designato DPO?>> Naturalmente in presenza delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all’articolo 39.

Ricordiamo ancora che il responsabile della protezione dei dati può svolgere altri compiti e funzioni … e, per le riflessioni che seguono, non si può affermare, tout court, che il controllore controlli il controllato.
Allo stesso modo non vi è alcun divieto, nel regolamento, a che un Responsabile possa ricoprire il ruolo di DPO.

Ogni situazione va analizzata caso per caso.
La raccomandazione delle linee guida dell’Articolo 29 DPWP di adottare procedure per:

  • individuare le qualifiche e funzioni che sarebbero incompatibili con quella di RPD;
  • redigere regole interne a tale scopo onde evitare conflitti di interessi;
  • prevedere un’illustrazione più articolata dei casi di conflitto di interessi;
  • dichiarare che il RPD non versa in alcuna situazione di conflitto di interessi con riguardo alle funzioni di RPD, al fine di sensibilizzare rispetto al requisito in questione;
  • prevedere specifiche garanzie nelle regole interne e fare in modo che nel segnalare la disponibilità di una posizione lavorativa quale RPD ovvero nel redigere il contratto di servizi si utilizzino formulazioni sufficientemente precise e dettagliate così da prevenire conflitti di interessi

è sicuramente utile nel dare enfasi ed evidenza dell’assenza di (rischi di) conflitti d’interesse come nell’esemplificazione considerata.

Il DPO, come sopra nominato, è vero, ha interessi professionali presso il Titolare; è infatti consulente per la sicurezza sul lavoro. Ma l’imparzialità richiesta al DPO può in qualche modo essere compromessa dal fatto che questi sia un Responsabile? Dal fatto che sia un consulente, non in materia di protezione dei dati personali ma di sicurezza sul lavoro?
Alla lettera “h)”, § 3 dell’art. 28/679/2016 è scritto che il Responsabile deve (…) consentire e contribuire alle attività di revisione, comprese le ispezioni, realizzate dal titolare del trattamento o da un altro soggetto da questi incaricato.
Bene. Sarà direttamente il Titolare, o altro soggetto da questi incaricato, che si assicurerà circa il rispetto degli obblighi previsti da parte del consulente.
Non sarà certo coinvolto il DPO/Consulente a controllare se stesso quanto, piuttosto, un organismo indipendente di terza parte che potrà esprimersi circa l’appropriatezza dei comportamenti assunti dal consulente sia in qualità di Responsabile sia in quella di DPO.

La suddetta esemplificazione lascia quindi ben intendere che non si può generalizzare e lasciare insoddisfatte aprioristicamente esigenze organizzative che, in realtà, si rivelano non solo appropriate ma persino opportune.

Con ben in mente la suddetta definizione di conflitto d’interessi, questo si pone, ragionevolmente, se:

  1. il nostro Responsabile fosse consulente in materia di protezione di dati personali e non di sicurezza sul lavoro. Come potrebbe il DPO controllare l’operato del Titolare quando questi agisce assecondando le sue stesse indicazioni?
  2. il Titolare è assistito dallo studio legale (o dalla società di consulenza), in sede di applicazione ed osservanza dei requisiti della normativa privacy e ad assumere il ruolo di DPO è uno degli avvocati o altri soggetti (ovvero un dipendente della società) che ivi lavorano. Con quale autorevolezza ed imparzialità il DPO si relaziona con il Titolare per dirgli cosa va o non va nel modello di adeguamento al GDPR predisposto dallo stesso studio legale (società di consulenza) con cui e/o per cui lavora?
  3. il consulente informatico che assiste il Titolare per gli aspetti ICT, latu sensu, fosse designato DPO. Questi può oggettivamente ritenersi del tutto “estraneo” al trattamento dei dati personali ed in condizioni, quindi, di garantire l’imparzialità e l’indipendenza che è richiesta al Responsabile per la protezione dei dati? Secondo me, no.

Nei tre casi considerati, a titolo esemplificativo, sia il consulente privacy che quello informatico così come lo studio legale vanno nominati Responsabili esterni del trattamento ex art. 28/679/2016 in quanto ad essi il Titolare ricorre per trattamenti effettuati per suo conto, ma a determinare il conflitto d’interessi non è la nomina a Responsabili bensì il tipo di attività che sottende la relazione con il Titolare.

Il ragionamento da fare è un po’ quello per la composizione dell’Organismo di Vigilanza (OdV).
Il Responsabile del servizio di prevenzione e protezione (RSPP) piuttosto che il consulente del sistema di gestione ambientale e persino i sindaci nelle società di capitale, a dispetto del disposto ex art. 6/231/2001 c. 4-bis, non possono – de facto – far parte dell’OdV in presenza di conflitto d’interessi in quanto:

  • l’RSPP, membro dell’OdV, si ritroverebbe a controllare il proprio operato con riferimento all’osservanza della normativa sulla sicurezza sul lavoro la cui materia è contemplata fra i rischi reato 231;
  • il consulente ambientale, allo stesso modo, si ritroverebbe a verificare l’appropriatezza dei consigli formulati all’Organizzazione, in conformità al D. Lgs. 152/2006 e smi ed alla UNI EN ISO 14001;
  • il sindaco, infine, quale membro dell’organismo si ritroverebbe a controllare aspetti strettamente connessi alla propria attività oggetto, a loro volta, delle verifiche dell’OdV.

Né può essere membro dell’Organismo il DPO, o il consulente privacy. Come potrebbe, questi, controllare la correttezza delle azioni intraprese dovendo verificare eventuali rischi reato riguardanti i Delitti informatici ed il trattamento illecito di dati?

Ecco, queste situazioni sono del tutto assimilabili a quelle più sopra riportate; situazioni nelle quali la figura di controllore e controllato pongono sì, in essere, un evidente conflitto d’interessi.

Marcello Colaianni
Compliance & Management Systems Consultant/Auditor
Certified DPO  e DP Auditor UNI 11697
Certified DP Auditor ISDP 10003:2018 Scheme

 

 

La Repubblica di San Marino, il GDPR e la Protezione delle persone fisiche con riguardo al trattamento dei dati personali: considerazioni relative all’istituto della Certificazione.

La Repubblica di San Marino (RSM) non è Stato membro dell’Unione Europea tuttavia il combinato disposto:

  1. ex art. 3/679/2016, § 1: Il presente regolamento si applica al trattamento dei dati personali effettuato nell’ambito delle attività di uno stabilimento da parte di un titolare del trattamento o di un responsabile del trattamento nell’Unione, indipendentemente dal fatto che il trattamento sia effettuato o meno nell’Unione;
  2. ex art. 3/171/2018, comma 1: La presente legge si applica al trattamento interamente o parzialmente automatizzato di dati personali e al trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi, effettuato da chiunque è stabilito nel territorio della Repubblica di San Marino o in un luogo comunque soggetto alla sovranità della Repubblica di San Marino

evidenzia come il Regolamento UE 679/2016 sia del tutto applicabile, ed obbligatorio, anche per le organizzazioni sammarinesi.
Inoltre, la normativa ivi legiferata consente di considerare la RSM un Paese nel quale sono presenti le cosiddette garanzie adeguate di cui all’art. 46/679/2016 ed al Considerando 108 del Regolamento Ue.

Con riferimento alla Certificazione, ex artt. 42 e 43 del GDPR, discende che le relative disposizioni debbano, parimenti, essere prese nella dovuta considerazione.
Ciò premesso, doverosamente, occorre rilevare che l’accreditamento degli Organismi di Certificazione (OdC) richiamati all’art. 44/171/2018 è effettuato, in presenza di presupposti, unicamente dall’Autorità Garante per la protezione dei dati personali della RSM.

Per quanto riguarda l’altro aspetto rilevante, ovvero il fatto che il meccanismo di certificazione debba fondarsi sui requisiti della ISO 17065 piuttosto che della ISO 17021, non ci sono indicazioni specifiche.
Logica vuole che, sulla base delle considerazioni in premessa, le Autorità locali si allineino alle disposizioni del GDPR … e non vedo, personalmente, alternative.

L’art. 43/171/2018, c. 1, infatti, recita: <<Il titolare del trattamento o il responsabile del trattamento possono sottoporre il trattamento effettuato ad un meccanismo di certificazione della protezione dei dati, nonché di sigilli e marchi di protezione dei dati allo scopo di dimostrare la conformità alla presente legge dei trattamenti effettuati dai medesimi titolari e responsabili del trattamento>>.
Identica disposizione di quanto all’art. 42/679/2016, § 1, per la parte di nostro interesse: <<Gli Stati membri, le autorità di controllo, il comitato e la Commissione incoraggiano, in particolare a livello di Unione, l’istituzione di meccanismi di certificazione della protezione dei dati nonché di sigilli e marchi di protezione dei dati allo scopo di dimostrare la conformità al presente regolamento dei trattamenti effettuati dai titolari del trattamento e dai responsabili del trattamento>>.

Da quanto sopra si rileva, ancora una volta, come la valutazione di conformità di un meccanismo di certificazione della protezione dei dati, nonché di sigilli e marchi di protezione dei dati trovi soddisfazione nella norma UNI CEI EN ISO/IEC 17065 che riguarda, compiutamente, i Requisiti per organismi che certificano prodotti, processi e servizi e non nella norma UNI CEI EN ISO/IEC 17021 che, diversamente, riguarda i Requisiti per gli organismi che forniscono certificazione di sistemi di gestione.

A questo punto manca un solo tassello.
La garanzia che gli Organismi di certificazione operino nel rispetto dei requisiti della ISO 17065 è data dall’accreditamento degli stessi da parte dell’Ente nazionale di accreditamento, in Italia, Accredia.
In assenza di un ente di accreditamento nella Repubblica di San Marino trovo estremamente utile ed oltremodo ragionevole prevedere, al comma 2 dell’art. 44/171/2018, anche il requisito dell’accreditamento degli OdC, per altro inclusivo di quanto alle lettere da a) a d), in conformità della norma UNI CEI EN ISO/IEC 17065.

Così facendo, insieme ad un ulteriore allineamento ed uniformità con il Regolamento UE 679/2016, tutte le organizzazioni della Repubblica di San Marino potrebbero facilmente identificare, fra gli altri, lo schema ISDP 10003:2018 certificato Accredia come lo strumento più idoneo a dimostrare la conformità dei trattamenti effettuati dai titolari e responsabili del trattamento così come previsto dalla Legge 21 Dicembre 2018 n.171.

Marcello Colaianni
Certified DPO e DP Auditor UNI 11697
Certified DP Auditor ISDP 10003:2018 Scheme
Compliance & Management Systems Consultant

Il DPO: un facilitatore, un coach, un mentore!

È un sommo piacere vedere ribadito, nel post di Angelo Freni (https://www.linkedin.com/pulse/dpo-facilitatore-angelo-freni-1f/), che il DPO è colui che, fra l’altro, sorveglia l’osservanza del Reg. UE e non “quello che fa le carte” pena l’incorrere in un inevitabile conflitto d’interesse.

Da questa prospettiva si capisce come il DPO sia, e debba essere percepito, un facilitatore. Un professionista, cioè, che ha in sé la qualità di portare l’Organizzazione ad elicitare le proprie risorse e passare dalla situazione “A”, quella pre-Regolamento UE 679/2016, alla situazione “B”, post 25/05/2018 in adempimento ai requisiti della normativa vigente.

Il DPO è un coach! Svolge attività di coaching.

“COACHING” la cui parola richiama quella di COACH, carrozza ….  e come la carrozza trasporta il passeggero da un luogo ad un altro, il Coach porta il Cliente e l’utente finale (Coachee) dalla situazione attuale a quella desiderata, dalla definizione di propri obiettivi fino al loro raggiungimento.

Ha capacità relazionali ed è in grado di condurre colloqui e gestire le diverse fasi del processo.
Ha abilità proprie e caratteristiche peculiari che si riconoscono nell’ascolto attivo e contestuale; è aperto e sicuro di sé, flessibile e capace di adattarsi alle situazioni, umile e scevro da pregiudizi, rispettoso ed eticamente corretto.

L’indicazione dell’abilità del coaching fra gli skill previsti del DPO, ovvero del Responsabile della Protezione dei Dati (RPD), nella norma UNI 11697, non è un caso!

Non solo! Essendo un addetto ai lavori in materia di Data Protection, il DPO è un mentore!

Il mentor è un saggio che conosce le cose, un modello, la persona da prendere come riferimento e caratterizzata da una forte motivazione a fare da guida e da consigliere al mentee.

In azienda, il Mentore è colui che affianca ed istruisce chi lo succederà nel suo ruolo. È il DPO che affianca e istruisce l’intera organizzazione; è il DPO che è co-attore nell’istituzione, affiancamento e formazione del Data Protection Departement.

È il DPO, il tuo facilitatore nell’applicazione del GDPR.

Marcello Colaianni
Compliance & Management Systems Consultant/Auditor
Business, Team e Corporate Coach.

 

 

DPO: Data Protection Officer versus Data Privacy Officer, stesso acronimo, figure diverse

Ho già avuto modo di scriverlo in alcuni miei articoli come quello del 21 agosto 2017 (https://marcellocolaianniblog.wordpress.com/2017/08/21/il-responsabile-della-protezione-dei-dati-il-privacy-officer-e-le-altre-figure-del-gdpr/) e mi preme qui ribadire il concetto per cui di Data Protection Officer ce n’è uno ed uno solo. È quello nominativamente previsto agli articoli 37 a 39 del Regolamento UE 679/2016.

Senza nulla togliere alle altre figure professionali della Privacy, o più correttamente, della Data Protection, vanno assolutamente specificate le differenze in termini di ruolo, mansioni e competenze.

Esiste il Chief Privacy Officer? Va bene, non è il DPO! Esistono i Privacy Officer e gli altri Officer che si occupano a vario titolo della materia in discorso? Benissimo! Sono altro rispetto al DPO!

L’ultimo nato è l’ancor più ingannevole Data Privacy Officer con acronimo identico al Data Protection Officer.  Un caso?

Da dove salti fuori non ne ho minimamente idea. È certo che se si vogliono identificare soggetti che, in azienda o fuori, si occupano della materia in discorso basta ricorrere ai suggerimenti della norma UNI 11697 che, riconoscendo personalmente il Responsabile della Protezione dei Dati,  propone la figura del Manager Privacy, valida alternativa a tutte le altre definizioni più sopra citate, dello Specialista privacy e del Valutatore privacy per i quali sono formulate caratteristiche proprie e identificative.

D’altra parte, è lo stesso WP29 (ora EDPB) a ricordarcelo:
Nulla osta a che un’azienda o un ente, quando non sia soggetta all’obbligo di designare un RPD e non intenda procedere a tale designazione su base volontaria, ricorra comunque a personale o consulenti esterni incaricati di incombenze relative alla protezione dei dati personali. In tal caso è fondamentale garantire che non vi siano ambiguità in termini di denominazione, status e compiti di queste figure; è dunque essenziale che in tutte le comunicazioni interne all’azienda e anche in quelle esterne (con l’autorità di controllo, gli interessati, i soggetti esterni in genere), queste figure o consulenti non siano indicati con la denominazione di responsabile per la protezione dei dati (RPD).
Considerazioni che valgono anche per i chief privacy officers (CPO) o altri professionisti in materia di privacy già operanti presso alcune aziende, che non sempre e non necessariamente si conformano ai requisiti fissati nel regolamento per quanto riguarda, per esempio, le risorse disponibili o le salvaguardie della loro indipendenza e che, in tal caso, non possono essere considerati e denominati “RPD”.  

Marcello Colaianni
Compliance & Management Systems Consultant/Auditor

Norme di legge e norme di sistema: Requisiti complementari e differenti.

Con il presente articolo mi associo al pensiero di un autorevole e riconosciuto Organismo di Certificazione italiano.

Spesso, anche dal confronto con miei rispettosissimi colleghi, mi trovo a dibattere sulla necessità di fare i dovuti distinguo fra le prescrizioni di cui alla legislazione e quelle formulate all’interno delle norme di  sistema.
Ecco che cosa intendo.

Nel testo del D. Lgs. 8 giugno 2001 n.  231 “Disciplina della responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica, a norma dell’articolo 11 della legge 29 settembre 2000, n. 300” è incluso il riferimento alla corruzione richiamata all’art. 25: Concussione, induzione indebita a dare o promettere utilità e corruzione. Sappiamo trattarsi di uno degli innumerevoli reati a fronte del quale gli Enti devono implementare un modello di organizzazione e di gestione idoneo ad avere efficacia esimente della responsabilità amministrativa; il cosiddetto M.O.G.

La dimostrazione di una sua adozione ed efficace attuazione è espressa nella registrazione ed osservanza di aspetti riguardanti:

  • La mappatura delle aree/funzioni/attività aziendali a rischio reato;
  • L’analisi puntuale degli specifici fattori di pericolo e loro analisi per la determinazione del rischio e suo trattamento;
  • La valutazione, costruzione ed adeguamento del sistema di controllo preventivo con l’individuazione ed analisi dei singoli componenti: Codice etico (e sistema disciplinare) con riferimento ai reati considerati, Sistema organizzativo, Procedure manuali ed informatiche, Poteri autorizzativi e di firma, Sistema di controllo di gestione, Formazione e addestramento, Comunicazione e coinvolgimento, Gestione operativa, Sistema di monitoraggio della sicurezza;
  • L’identificazione e nomina di un appropriato Organismo di Vigilanza (OdV) tenendo conto della sua composizione, dei compiti, dei requisiti e poteri e loro distribuzione fra i singoli membri, le relazioni fra l’OdV e le altri funzioni aziendali, i flussi di informazione nonché i profili penali e della responsabilità.

Quanto sopra, tuttavia, è cosa del tutto differente rispetto a ciò che prevede la UNI ISO 37001: Sistemi di gestione per la prevenzione della corruzione – Requisiti e guida all’utilizzo.

Questa, a solo titolo esemplificativo, identifica specifiche figure professionali quali il Responsabile della prevenzione della corruzione, riconosce l’Organo direttivo e l’Alta direzione che si sovrappongono alle funzioni già esistenti all’interno dell’Organizzazione con propri ruoli, responsabilità ed un coinvolgimento tale per cui si può oggettivamente affermare: “Non poteva non sapere”.

Qui, la valutazione dei rischi di corruzione si estende concretamente ai cosiddetti “soci in affari” e ad essa, laddove emergessero rischi medi o elevati, segue una due diligence. Occorre cioè avviare un’ulteriore verifica della natura ed entità del rischio di corruzione e aiutare le organizzazioni  ad assumere decisioni in relazione a transazioni, progetti, attività, soci in affari e personale specifici.

Cosa c’è in comune? La valutazione dei rischi, la consapevolezza e la formazione a tutti i livelli e funzioni dell’organizzazione, la comunicazione e le informazioni documentate … il tutto, però, debitamente contestualizzato.

Parimenti dicasi per la PRIVACY!

Al pari della Corruzione, il D. Lgs. 231, all’art 24-bis, tratta dei Delitti informatici e trattamento illecito di dati.

L’evidenza delle azioni intraprese volte ad evitare l’incorrere in siffatti rischi e, quindi, a dimostrare il loro regolare monitoraggio non può assolutamente essere equiparato ai comportamenti da assumere in ossequio al Regolamento UE 679/2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati.

Certo! È indubbio che vi siano correlazioni fra i suddetti reati e l’adeguamento al GDPR (General Data Protection Regulation). Si tratta, però, di aspetti fra loro complementari e del tutto insufficienti a dimostrare autonomamente la reciproca osservanza senza l’attuazione di specifici adempimenti.

L’adeguamento al Regolamento, che subentra al D. Lgs. 196/03 e smi (Codice in materia di protezione dei dati personali) in fieri di essere revisionato in adeguamento allo stesso GDPR, già di per sé, impone un approccio sistemico nell’adempimento dei suoi requisiti. Un approccio, cioè, simile al passaggio fra il D. Lgs. 626/94 ed il D. Lgs. 81/08 in materia di Sicurezza sul lavoro – rafforzato poi dal riferimento al relativo sistema di gestione di cui all’art. 30 – dove non è sufficiente l’adempimento puntuale, per esempio, dell’informativa e della richiesta del consenso o della designazione del Responsabile della protezione dei dati.

Si richiede, innanzitutto, un cambiamento di cultura, l’individuazione di nuove figure aziendali che, grazie alla propria esperienza ed alle risorse disponibili, possano dare il loro valido contributo all’Organizzazione. Serve, senza ricorrere al tuttologo di turno, un approccio trasversale che consenta di rilevare la ricaduta del trattamento dei dati personali degli interessati con riferimento a tutte le attività di trattamento del Titolare focalizzandosi, fin dalla progettazione e per impostazione predefinita, sia sui dati logici sia, e prima ancora, su quelli organizzativi e fisici.

Un’utopia? NO! Tanto più considerando che gli Stati membri, le autorità di controllo, il comitato e la Commissione incoraggiano, in particolare a livello di Unione, l’istituzione di meccanismi di certificazione della protezione dei dati (…)  allo scopo di dimostrare la conformità al presente regolamento dei trattamenti effettuati dai titolari del trattamento e dai responsabili del trattamento.

Meccanismi di certificazione che, se propriamente implementati, possono calmierare l’entità di eventuali sanzioni amministrative.

Nel nostro Paese, ci sono schemi (leggi meccanismi) proprietari di certificazione che, validati da Organismi lungimiranti, sebbene fuori accreditamento hanno l’indiscusso merito di aiutare le organizzazioni nell’applicazione del Regolamento stesso.

Cosa fare, quindi?

  1. Definire il focus, l’obiettivo: Capire cosa si vuole fare e focalizzarsi su quello;
  2. Individuare e valutare le diverse possibilità per raggiungere l’obiettivo;
  3. Pianificare le azioni da intraprendere, come organizzarsi e convergere, all’interno e/o ricorrendo a professionalità esterne, expertises differenti per il comune obiettivo;

e ancora

  1. Analizzare e far fronte agli eventuali ostacoli che vi si frappongono;
  2. Assicurarsi di essere, tutti, sulla stessa lunghezza d’onda … e
  3. PARTIRE!

Marcello Colaianni
Compliance & Management Systems Consultant/Auditor

 

 

 

 

 

 

 

 

 

Il GDPR e i meccanismi di certificazione

In Italia, esistono Standard proprietari conformi al GDPR ma, a onor del vero, un unico meccanismo di certificazione valido in tutta la UE é ancora là da essere riconosciuto come universalmente validato.

A riguardo, durante la partecipazione ad alcuni convegni sento dire quanto sia controproducente, da parte delle Organizzazioni,  l’adozione di un siffatto meccanismo.

Rimango basito!

Innanzitutto, ricordiamo tutti che “gli Stati membri, le autorità di controllo, il comitato e la Commissione incoraggiano, in particolare a livello di Unione, l’istituzione di meccanismi di certificazione della protezione dei dati” …
… e questo vorrà dire qualcosa, no?   

In secondo luogo è fondamentale sapere che, sebbene l’istituzione del meccanismo di certificazione sia facoltativa, l’adeguata implementazione e idonea applicazione di un sistema di gestione per la protezione dei dati è uno dei fattori presi in considerazione per calmierare l’entità delle sanzioni amministrative, qualora comminate.

È vero! Una volta che s’intraprende questo cammino virtuoso … non si può più tornare indietro, pena il rischio di:

  1. vedersi revocata la certificazione,
  2. vedere comunicata la revoca della certificazione all’autorità di controllo
  3. ritrovarsi ancor più vulnerabili di fronte alle eventuali ispezioni circa l’applicazione del Regolamento.

Ma mi chiedo:

  • qualunque Sistema di gestione aziendale, e quindi anche il DPMS (Data Protection Management System), non ha come mission quello di sollecitare l’organizzazione a dare sempre il meglio di sé?
  • Perché temere il peggio  se l’Organizzazione si struttura adeguatamente in modo da garantire la propria compliance a tutte le norme di legge … e di sistema?
  • Perché soffermarsi e vedere il bicchiere mezzo vuoto invece di cogliere un’opportunità per dare ancor più valore all’immagine, alla propria reputazione ed alle proprie risorse umane?

Un’altra riflessione è doverosa, in questa sede.

L’Organizzazione che voglia assumere in toto la paternità della propria compliance al GDPR può, in alternativa, ricorrere alla linea guida UNI ISO 19600:2016 – Sistemi di gestione della conformità (compliance) – Linee guida quale utile e validato riferimento ed evidenza oggettiva circa l’adeguamento al Regolamento. Certo, non si può parlare di certificazione bensì di attestazione … ed è sempre un primo passo, no?

In conclusione:

  1. ben venga qualunque evidenza volta a dimostrare l’osservanza e l’adeguatezza al GDPR;
  2. ben venga l’adozione di meccanismi di certificazione e di codici di condotta che possono calmierare l’entità di eventuali sanzioni;
  3. ben venga, più di ogni altra cosa, l’istituzione di un modello organizzativo che, oltre a dare evidenza della propria conformità ai requisiti, costituisca quel corpus di istruzioni che dettano i più appropriati comportamenti in grado di rassicurare i propri clienti ed interessati e di esaltare le proprie risorse, l’identità aziendale e chi, della tua Organizzazione, è parte attiva.

Marcello Colaianni
DPO e Privacy Consultant KHC Certified n. 2108
Data Protection Auditor KHC Certified n. 2121

I Partiti, i Sindacati ed il GDPR

I partiti e i sindacati sono chiamati ad adeguarsi al Regolamento UE 679/2016 in materia di protezione delle persone fisiche con riferimento ai dati personali ed alla loro circolazione?

Assolutamente si!
A maggior ragione considerando che per definizione questi soggetti trattano non solo i “comuni” dati personali, ma altrettante e fondamentali categorie di dati particolari ovvero sensibili, cioè quelli che “rivelano (…), le opinioni politiche, (…), o l’appartenenza sindacale (…)”.  

A cosa sono tenuti?

Naturalmente a tutte le incombenze previste per la generalità delle Organizzazioni. Quindi, le consuete Informative e Richieste di consenso, l’identificazione e nomina delle figure della privacy, la tenuta del Registro dei trattamenti e, non ultimo, la nomina del Responsabile della protezione dei dati (RPD/DPO).

A cosa vanno incontro, in ipotesi di mancata osservanza ai requisiti di legge?

Al rischio sanzioni amministrative fino a € 10 mln o 20 mln in base alla tipologia di requisiti disattesi ed ai successivi comportamenti nonché alle sanzioni penali introdotte dai singoli stati membri.

Quali sono i rischi per la protezione dei dati personali in ambito partitico o sindacale?

Sono quelli che emergono da una puntuale e constestualizzata valutazione dei rischi con riferimento ai dati personali dell’iscritto durante il rapporto con il partito/sindacato.

Vi è anche l’obbligo di predisposizione della Valutazione d’impatto?

Assolutamente si! Per gli stessi motivi per cui sono tenuti alla designazione del RPD.  

C’è qualche scappatoia per evitare di esserne assoggettati?

NO! E se il nostro legislatore intervenisse in questi termini l’Italia sarebbe per questo soggetta a sanzioni da parte della Unione europea.

Marcello Colaianni
DPO e Privacy Consultant KHC Certified n. 2108
Data Protection Auditor KHC Certified n. 2121

 

 

Il RTDP aziendale, questo sconosciuto!

Con l’entrata in vigore del GDPR nasce una corrente di pensiero secondo cui, ancora non ho capito su che base, il RTDP aziendale non s’ha più da nominare.

Forse perché l’art. 28/679/2016, con riguardo alla sua nomina fa riferimento alla stipulazione di un contratto e, quindi, a qualunque altro atto giuridico? … e che per questo motivo suona male stipulare un contratto ad hoc nei confronti di un dipendente?
[A riguardo invito alla lettura del mio articolo: Il RTDP ed il DPO quali figure interne all’Azienda in adempimento al Reg. UE 679/2016 con riguardo al trattamento dei dati personali].

C’è, sembrerebbe, la naturale propensione a pensare, per il RTDP, esclusivamente ad un professionista esterno o ad una società di consulenza esterna, rispetto al TTDP (Titolare del Trattamento dei Dati Personali).

Se però pensiamo a tutte quelle organizzazioni che, indipendentemente dal ricorso ad un consulente, decidono di strutturarsi adeguatamente, è del tutto ragionevole che al proprio interno nominino uno o più RTDP (persone fisiche).

D’altra parte occorre ricordare che l’art. 4 definisce Responsabile del Trattamento dei Dati Personali (RTDP) la persona fisica (o giuridica, l’autorità pubblica, il servizio o altro organismo) che tratta dati personali per conto del titolare del trattamento e mi viene strano credere che, diversamente, la materia della protezione dei dati personali venga gestita e monitorata direttamente dal Rappresentante legale della società (di capitali) in tutt’altre faccende affaccendato.

Nei suddetti termini, allora, si scopre che la nomina del RTDP diventa necessaria e non più facoltativa, quanto meno per alleggerire le incombenze al TTDP.
Nomina, fra l’altro, ben più versatile di quella del RPD/DPO per la quale – a parità di altri presupposti – occorre dare idonee garanzie riguardo al rischio di possibili conflitti d’interesse.

Marcello Colaianni
DPO e Privacy Consultant KHC Certified n. 2108
Data Protection Auditor KHC Certified n. 2121

 

Le Associazioni, il GDPR ed il RPD: quali relazioni?

Le Associazioni professionali e di categoria, con o senza scopo di lucro, riconosciute e non, sono soggette all’osservanza del Reg. UE 2016/679, noto anche con l’acronimo GDPR (General Data Protection Regulation),  in materia di protezione delle persone fisiche con riferimento al trattamento dei dati personali ed alla libera circolazione di questi.
Lo si evince, facilmente, dal presupposto dell’ambiente materiale e territoriale di cui, rispettivamente, agli artt. 2 e 3 del Regolamento.

C’è da chiedersi se le associazioni siano anche tenute alla nomina del Responsabile della protezione dei dati (RPD), normato agli artt. 37 a 39 della normativa de quo.
A parere del sottoscritto, la risposta è: << assolutamente si!>> Ecco perché.

Dalla lettura del § 4 art. 4, per “profilazione” s’intende qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica. Quindi:

  • la diversa categorizzazione di soci in soci onorari, sostenitori, ordinari, Senior, Junior, ecc.;
  • il monitoraggio sull’entrata di nuovi soci;
  • il pagamento della quota da parte dei soci;
  • il rinnovo dell’iscrizione da parte dei vecchi soci;
  • l’identificazione dei soci con o senza diritti di voto;
  • l’identificazione dei soci a livello regionale e nazionale;
  • l’attribuzione, ai soci, di particolari ruoli e/o compiti in ambito associativo regionale o nazionale;

… siamo sicuri che parte o tutto questo non sia riconducibile ad un’attività di profilazione?
Nemmeno con riferimento ad aspetti riguardanti le preferenze personali, gli interessi, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica?

Ebbene, alla luce del disposto ex art. 37/679/2016, c. 1 lettera b) per cui

il titolare del trattamento e il responsabile del trattamento designano sistematicamente un responsabile della protezione dei dati ogniqualvolta le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala

sembra proprio non vi siano dubbi!

Marcello Colaianni
DPO e Privacy Consultant KHC Certified n. DPO2108
Data Protection Auditor KHC Certified n. DPO2121