iI CONSULENTE prima del RECRUITING: come prepararsi alla gestione delle risorse umane

L’Organizzazione che cerca la persona giusta per uno specifico ruolo ha, ragionevolmente, le idee chiare sulla risorsa di cui ha bisogno in termini di conoscenze, competenze e abilità.

Altre volte, però, può rivelarsi utile, in attesa di inserire in azienda le più idonee professionalità, ricorrere al Consulente … il che non vuole essere un’alternativa.
I vantaggi che ne derivano possono superare le aspettative e, persino, rivelare all’Organizzazione che quel che cerca è già lì, nella sua struttura.

Cosa intendo dire?

Mi è capitato di assistere un’azienda in cui occorreva affiancare alla vecchia guardia nuove risorse che portassero innovazione, creatività ed un approccio trasversale al problem solving.
Così facendo si è scoperta, da una parte, l’inaspettata disponibilità e flessibilità, di alcuni, a riconvertirsi in nuovi ruoli e posizioni, dall’altra, un rinnovato orgoglio di appartenenza, un miglioramento del clima aziendale e nuove forme di business development.

Altrove, si presentava la necessità di riorganizzare le funzioni di staff allo scopo di evitare inutili sovrapposizioni e, insieme, di assicurarsi circa l’applicazione dei requisiti di cui alla normativa, cogente e volontaria, di riferimento per l’Organizzazione.
L’analisi delle risorse, dei loro curricula e dei loro desiderata, ha permesso di coniugare sapientemente le esigenze aziendali con gli obiettivi personali all’insegna di una nuova politica di valutazione, valorizzazione e formazione del personale.
La parte legal è stata fortemente coinvolta con l’introduzione della funzione Compliance e del Management Systems Department. La funzione Auditing ha esteso il proprio campo di azione. I ruoli ispettivi, come quello del DPO, sono stati internalizzati lasciando interamente a professionalità esterne la composizione dell’OdV. Anche la Comunicazione interna ha preso in carico la gestione di un nuovo house horgan con la pubblicazione della vita, in azienda, della casa madre e delle sue filiali.
A questa rivoluzione copernicana hanno concorso anche le nuove leve.
Il mio contributo è stato quello di Consulente piuttosto che di Business Coach a seconda dei momenti ed esigenze che andavano presentandosi … e non è finita qui.

In altre due situazioni, proprio in previsione di selezionare risorse adeguate, ho ricoperto il ruolo di Temporary manager, dapprima con il compito di sovrintendere, anche operativamente, ai compiti del Servizio di Prevenzione e Protezione e come referente per il Sistema integrato QSA (Qualità, Sicurezza e Ambiente); quindi, in qualità di Responsabile interno del Trattamento dei Dati Personali (RTDP) ex D. Lgs. 196/03, l’attuale Privacy manager.
Successivamente, dal ruolo di Consulente a quello di Mentore il passo è stato breve.

La conclusione è presto detta:
care Organizzazioni, siate fiduciose e ben disposte. Non sempre la soluzione è lontana. Potreste stupirvi e scoprire di avere a portata di mano la risposta alle vostre domande.

Marcello Colaianni
Business, Corporate & Executive Coach
Certified DPO, DP Auditor e ISDP 10003 Auditor

Compliance & Mgmt Systems Consultant/Auditor

 

 

Le competenze morbide del DPO … e non solo

I compiti del DPO e le competenze richieste nel Regolamento UE 679/2016 hanno dato via libera ai più disparati pareri, e convinzioni, su chi possa ricoprire questo ruolo.
A riguardo, mi sono già espresso con il mio articolo: <<Il Data Protection Officer: Quali competenze per quali compiti>> e non voglio essere ridondante:(https://marcellocolaianniblog.wordpress.com/2017/03/14/il-data-protection-officer-quali-competenze-per-quali-compiti)

Ciò a cui tengo, in questa sede, è dare il giusto spazio alle competenze morbide, ovvero a quelle abilità che per il DPO, e non solo per lui, sono estremamente utili nell’espletamento delle proprie funzioni.

Mi riferisco, per esempio, a quelle richiamate dalla norma ISO 19011: mentalità aperta, diplomatici, sicuri di sé, collaborativi, versatili, perseveranti, in grado di agire con fermezza, ecc. e dalla norma UNI 11697 che contempla, fra l’altro, la capacità di comunicare, di analisi, di sintesi, di controllo, di convincimento, di gestione dei conflitti, di iniziativa e di lavorare in gruppo.
Skill fondamentali nelle relazioni interpersonali e quindi anche per chi, come il DPO, si trova costantemente a confrontarsi con diversi soggetti, dentro e fuori l’organizzazione.

Ma cosa si intende per competenze dure e cosa per competenze morbide?
Si può dire che le prime consentono di svolgere specifici compiti sulla base di una molteplicità di conoscenze acquisite nel tempo; le seconde si riferiscono ad abilità che riguardano, piuttosto, le modalità di rapportarsi con gli altri, gli atteggiamenti assunti nell’esprimere concetti, l’assunzione di una postura rispettosa del proprio interlocutore, un tono di voce moderato e consono alle circostanze … e così via; in altre parole l’abilità di gestire le relazioni interpersonali.
La complementarietà fra competenze dure e competenze morbide è fondamentale ancor più di una ipotetica e totale copertura delle sole competenze dure … e insieme consentono di portare a termine compiti e di risolvere problemi.

Si nasce o si diventa competenti?
Si può tranquillamente affermare che nessuno nasce imparato!
L’apprendimento formale è base e condizione necessaria, e non sufficiente, per metabolizzare conoscenze e, quindi, competenze tecniche. L’apprendimento informale e non-formale chiudono il cerchio doverosamente integrate dall’esperienza.
Per le competenze morbide c’è quello che si chiama istinto, predisposizione o capacità innata. In realtà, anche qui si può agire di conseguenza e migliorare sempre.

Come? Con il coaching!
Un’attività con cui il professionista, il coach, affianca il cliente, il coachee, ad elicitare le risorse necessarie per risolvere problemi e raggiungere i propri obiettivi attraverso tecniche e metodologie appropriate.
Il coaching, non a caso, è una delle abilità previste per la figura del DPO.
Da qui l’utilità di inserire, nei tradizionali corsi per DPO o per Manager privacy, Specialista Privacy e Valutatore privacy incontri formativi che enfatizzino le suddette abilità per una preparazione più completa e strategica e se il coach è anche un addetto ai lavori nell’ambito della protezione dei dati personali … beh,  poter affidarsi a un mentore è il TOP!

In realtà in qualunque contesto, professionale o di vita quotidiana, chiunque trae grande utilità nell’immergersi in questo mondo stupefacente … ed è il primo ad accorgersene e rendersi conto del maggior potenziale acquisito.

Marcello Colaianni
Business, Corporate, Executive e Team Coach
Privacy Consultant e DP Auditor Certified – DPO UNI 11697 Certified

GDPR e WHISTLEBLOWING

Il Whistleblowing, ovvero la disciplina della segnalazione da parte del dipendente, trova il suo definitivo riconoscimento con l’entrata in vigore della L. 30 novembre 2017, n. 179 Disposizioni per la tutela degli autori di segnalazioni di reati o irregolarità di cui siano venuti a conoscenza nell’ambito di un rapporto di lavoro pubblico o privato.

In ambito pubblico, il suddetto istituto era già noto grazie al D.P.R. 16 aprile 2013, n. 62 Regolamento recante codice di comportamento dei dipendenti pubblici, a norma dell’articolo 54 del decreto legislativo 30 marzo 2001, n. 165 dove l’art. 8 recita: Il dipendente (…) fermo restando l’obbligo di  denuncia all’autorità giudiziaria, segnala al proprio superiore gerarchico eventuali situazioni di  illecito  nell’amministrazione  di  cui  sia venuto a conoscenza”.

In ambito privato la sua applicazione viene specificatamente circoscritta al D. Lgs. 231/01 con l’inserimento degli articoli 2-bis, 2-ter e 2-quater. La determinazione del perimetro del whistleblowing in seno alla Disciplina della responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica lascia ben intendere, in realtà, il notevole livello di estensione della validità di questo istituto.

Ai nostri fini, l’argomento coinvolge sicuramente la materia della “Privacy” giacché l’art. 24-bis del D. Lgs. 231/01 contempla i Delitti informatici e trattamento illecito di dati e più precisamente i reati di:

  • Falsità in un documento informatico pubblico o avente valore probatorio (art. 491-bis c.p.);
  • Accesso abusivo ad un sistema informatico e telematico (art. 615-ter c.p.);
  • Detenzione e diffusione abusiva di codici di accesso a sistemi informatici e telematici (art. 615-quater);
  • Diffusione di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico (art. 615-quinquies c.p.);
  • Intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche (art. 617-quater c.p.);
  • Installazione di apparecchiature atte ad intercettare, impedire o interrompere comunicazioni informatiche o telematiche (art. 617-quinquies c.p.);

a cui si aggiungono quelli di cui alla Parte III^ Tutela dell’interessato e sanzioni, Titolo III Sanzioni, Capo II Illeciti penali che, alla luce dello Schema di decreto legislativo recante disposizioni per l’adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679, sono:

  • Trattamento illecito di dati;
  • Falsità nelle dichiarazioni al Garante;
  • Altre fattispecie e
  • Pene accessorie

Per quanto sopra, si può quindi affermare che il D. Lgs. 231/01 si pone come elemento di congiunzione fra la Privacy, nei termini considerati, ed il whistleblowing. E questo vale per tutti coloro che, a vario titolo, vi si adeguano.

A questo punto la domanda sorge spontanea: I soggetti estranei all’obbligo di osservanza del D. Lgs. 231/01 sono comunque tenuti, ai fini della normativa vigente in materia di Data Protection, a prendere in debita considerazione tale istituto e, quindi, anche la predisposizione di idonee procedure di segnalazione?

Evidentemente no! Manca infatti la base giuridica che imponga un siffatto comportamento.

In termini volontaristici, naturalmente, è tutta un’altra cosa!

Sebbene, in questo caso, l’obiettivo sia quello di tutelare direttamente l’Interessato nel trattamento dei suoi dati personali gli effetti che ne derivano sono comunque utili al Titolare, ovvero al Responsabile del trattamento.

L’adozione volontaria di procedure di segnalazione contro il rischio di commissione di reati o irregolarità in materia di Privacy sono del tutto coerenti con il dettato di cui al Reg. UE 679/2016 nonché di quello che rimane del D. Lgs. 196 e di quello che verrà:

  1. perché il trattamento illecito dei dati è contrario al primo dei principi del GDPR;
  2. perché l’adozione di procedure di whistleblowing rientra sicuramente fra le misure tecniche e organizzative che il titolare deve adottare;
  3. perché tali comportamenti precauzionali possono concorrere a calmierare l’importo della sanzione pecuniaria;

e ancora:

  1. perché evita l’incorrere del rischio reclusione;
  2. perché estremamente pertinente nell’ipotesi di implementazione di un sistema di gestione della protezione dei dati personali;
  3. perché valido strumento contro il rischio reputazionale.

Non solo. Laddove il Titolare lungimirante intenda tener conto del whistleblowing un utile e valido  riferimento su come comportarsi è adeguarsi alle indicazioni del decreto 231 ovvero  degli articoli:

<<2-bis che prevede:

  1. uno o piu’ canali che consentano ai soggetti indicati nell’articolo 5, comma 1, lettere a) e b), di presentare, a tutela dell’integrità dell’ente, segnalazioni circostanziate di condotte illecite, rilevanti ai sensi del presente decreto (231) e fondate su elementi di fatto precisi e concordanti, o di violazioni del modello di organizzazione e gestione dell’ente, di cui siano venuti a conoscenza in ragione delle funzioni svolte; tali canali garantiscono la riservatezza dell’identità del segnalante nelle attivita’ di gestione della segnalazione;
  2. almeno un canale alternativo di segnalazione idoneo a garantire, con modalità informatiche, la riservatezza dell’identità del segnalante;
  3. il divieto di atti di ritorsione o discriminatori, diretti o indiretti, nei confronti del segnalante per motivi collegati, direttamente o indirettamente, alla segnalazione
  4. nel sistema disciplinare adottato ai sensi del comma 2, lettera e), sanzioni nei confronti di chi viola le misure di tutela del segnalante, nonché di chi effettua con dolo o colpa grave segnalazioni che si rivelano infondate.

2-ter che dispone: 

L’adozione di misure discriminatorie nei confronti dei soggetti che effettuano le segnalazioni di cui al comma 2-bis puo’ essere denunciata all’Ispettorato nazionale del lavoro, per i provvedimenti di propria competenza, oltre che dal segnalante, anche dall’organizzazione sindacale indicata dal medesimo.

2-quater per cui è stabilito che:

Il licenziamento ritorsivo o discriminatorio del soggetto segnalante è nullo. Sono altresì nulli il mutamento di mansioni ai sensi dell’articolo 2103 del codice civile, nonché qualsiasi altra misura ritorsiva o discriminatoria adottata nei confronti del segnalante. È onere del datore di lavoro, in caso di controversie legate all’irrogazione di sanzioni disciplinari, o a demansionamenti, licenziamenti, trasferimenti, o sottoposizione del segnalante ad altra misura organizzativa avente effetti negativi, diretti o indiretti, sulle condizioni di lavoro, successivi alla presentazione della segnalazione, dimostrare che tali misure sono fondate su ragioni estranee alla segnalazione stessa>>.

Ad assicurarsi circa il rispetto delle regole, se in ambito 231 spetta all’OdV, in questa sede spetta sicuramente al DPO nell’alveo dei suoi compiti istituzionali. In mancanza, è oltremodo opportuno il ricorso a un DP Auditor.

Marcello Colaianni
Compliance & Management Systems Consultant/Auditor
Privacy Consultant & DP Auditor Certified

 

Il DPO: un facilitatore, un coach, un mentore!

È un sommo piacere vedere ribadito, nel post di Angelo Freni (https://www.linkedin.com/pulse/dpo-facilitatore-angelo-freni-1f/), che il DPO è colui che, fra l’altro, sorveglia l’osservanza del Reg. UE e non “quello che fa le carte” pena l’incorrere in un inevitabile conflitto d’interesse.

Da questa prospettiva si capisce come il DPO sia, e debba essere percepito, un facilitatore. Un professionista, cioè, che ha in sé la qualità di portare l’Organizzazione ad elicitare le proprie risorse e passare dalla situazione “A”, quella pre-Regolamento UE 679/2016, alla situazione “B”, post 25/05/2018 in adempimento ai requisiti della normativa vigente.

Il DPO è un coach! Svolge attività di coaching.

“COACHING” la cui parola richiama quella di COACH, carrozza ….  e come la carrozza trasporta il passeggero da un luogo ad un altro, il Coach porta il Cliente e l’utente finale (Coachee) dalla situazione attuale a quella desiderata, dalla definizione di propri obiettivi fino al loro raggiungimento.

Ha capacità relazionali ed è in grado di condurre colloqui e gestire le diverse fasi del processo.
Ha abilità proprie e caratteristiche peculiari che si riconoscono nell’ascolto attivo e contestuale; è aperto e sicuro di sé, flessibile e capace di adattarsi alle situazioni, umile e scevro da pregiudizi, rispettoso ed eticamente corretto.

L’indicazione dell’abilità del coaching fra gli skill previsti del DPO, ovvero del Responsabile della Protezione dei Dati (RPD), nella norma UNI 11697, non è un caso!

Non solo! Essendo un addetto ai lavori in materia di Data Protection, il DPO è un mentore!

Il mentor è un saggio che conosce le cose, un modello, la persona da prendere come riferimento e caratterizzata da una forte motivazione a fare da guida e da consigliere al mentee.

In azienda, il Mentore è colui che affianca ed istruisce chi lo succederà nel suo ruolo. È il DPO che affianca e istruisce l’intera organizzazione; è il DPO che è co-attore nell’istituzione, affiancamento e formazione del Data Protection Departement.

È il DPO, il tuo facilitatore nell’applicazione del GDPR.

Marcello Colaianni
Compliance & Management Systems Consultant/Auditor
Business, Team e Corporate Coach.

 

 

Norme di legge e norme di sistema: Requisiti complementari e differenti.

Con il presente articolo mi associo al pensiero di un autorevole e riconosciuto Organismo di Certificazione italiano.

Spesso, anche dal confronto con miei rispettosissimi colleghi, mi trovo a dibattere sulla necessità di fare i dovuti distinguo fra le prescrizioni di cui alla legislazione e quelle formulate all’interno delle norme di  sistema.
Ecco che cosa intendo.

Nel testo del D. Lgs. 8 giugno 2001 n.  231 “Disciplina della responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica, a norma dell’articolo 11 della legge 29 settembre 2000, n. 300” è incluso il riferimento alla corruzione richiamata all’art. 25: Concussione, induzione indebita a dare o promettere utilità e corruzione. Sappiamo trattarsi di uno degli innumerevoli reati a fronte del quale gli Enti devono implementare un modello di organizzazione e di gestione idoneo ad avere efficacia esimente della responsabilità amministrativa; il cosiddetto M.O.G.

La dimostrazione di una sua adozione ed efficace attuazione è espressa nella registrazione ed osservanza di aspetti riguardanti:

  • La mappatura delle aree/funzioni/attività aziendali a rischio reato;
  • L’analisi puntuale degli specifici fattori di pericolo e loro analisi per la determinazione del rischio e suo trattamento;
  • La valutazione, costruzione ed adeguamento del sistema di controllo preventivo con l’individuazione ed analisi dei singoli componenti: Codice etico (e sistema disciplinare) con riferimento ai reati considerati, Sistema organizzativo, Procedure manuali ed informatiche, Poteri autorizzativi e di firma, Sistema di controllo di gestione, Formazione e addestramento, Comunicazione e coinvolgimento, Gestione operativa, Sistema di monitoraggio della sicurezza;
  • L’identificazione e nomina di un appropriato Organismo di Vigilanza (OdV) tenendo conto della sua composizione, dei compiti, dei requisiti e poteri e loro distribuzione fra i singoli membri, le relazioni fra l’OdV e le altri funzioni aziendali, i flussi di informazione nonché i profili penali e della responsabilità.

Quanto sopra, tuttavia, è cosa del tutto differente rispetto a ciò che prevede la UNI ISO 37001: Sistemi di gestione per la prevenzione della corruzione – Requisiti e guida all’utilizzo.

Questa, a solo titolo esemplificativo, identifica specifiche figure professionali quali il Responsabile della prevenzione della corruzione, riconosce l’Organo direttivo e l’Alta direzione che si sovrappongono alle funzioni già esistenti all’interno dell’Organizzazione con propri ruoli, responsabilità ed un coinvolgimento tale per cui si può oggettivamente affermare: “Non poteva non sapere”.

Qui, la valutazione dei rischi di corruzione si estende concretamente ai cosiddetti “soci in affari” e ad essa, laddove emergessero rischi medi o elevati, segue una due diligence. Occorre cioè avviare un’ulteriore verifica della natura ed entità del rischio di corruzione e aiutare le organizzazioni  ad assumere decisioni in relazione a transazioni, progetti, attività, soci in affari e personale specifici.

Cosa c’è in comune? La valutazione dei rischi, la consapevolezza e la formazione a tutti i livelli e funzioni dell’organizzazione, la comunicazione e le informazioni documentate … il tutto, però, debitamente contestualizzato.

Parimenti dicasi per la PRIVACY!

Al pari della Corruzione, il D. Lgs. 231, all’art 24-bis, tratta dei Delitti informatici e trattamento illecito di dati.

L’evidenza delle azioni intraprese volte ad evitare l’incorrere in siffatti rischi e, quindi, a dimostrare il loro regolare monitoraggio non può assolutamente essere equiparato ai comportamenti da assumere in ossequio al Regolamento UE 679/2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati.

Certo! È indubbio che vi siano correlazioni fra i suddetti reati e l’adeguamento al GDPR (General Data Protection Regulation). Si tratta, però, di aspetti fra loro complementari e del tutto insufficienti a dimostrare autonomamente la reciproca osservanza senza l’attuazione di specifici adempimenti.

L’adeguamento al Regolamento, che subentra al D. Lgs. 196/03 e smi (Codice in materia di protezione dei dati personali) in fieri di essere revisionato in adeguamento allo stesso GDPR, già di per sé, impone un approccio sistemico nell’adempimento dei suoi requisiti. Un approccio, cioè, simile al passaggio fra il D. Lgs. 626/94 ed il D. Lgs. 81/08 in materia di Sicurezza sul lavoro – rafforzato poi dal riferimento al relativo sistema di gestione di cui all’art. 30 – dove non è sufficiente l’adempimento puntuale, per esempio, dell’informativa e della richiesta del consenso o della designazione del Responsabile della protezione dei dati.

Si richiede, innanzitutto, un cambiamento di cultura, l’individuazione di nuove figure aziendali che, grazie alla propria esperienza ed alle risorse disponibili, possano dare il loro valido contributo all’Organizzazione. Serve, senza ricorrere al tuttologo di turno, un approccio trasversale che consenta di rilevare la ricaduta del trattamento dei dati personali degli interessati con riferimento a tutte le attività di trattamento del Titolare focalizzandosi, fin dalla progettazione e per impostazione predefinita, sia sui dati logici sia, e prima ancora, su quelli organizzativi e fisici.

Un’utopia? NO! Tanto più considerando che gli Stati membri, le autorità di controllo, il comitato e la Commissione incoraggiano, in particolare a livello di Unione, l’istituzione di meccanismi di certificazione della protezione dei dati (…)  allo scopo di dimostrare la conformità al presente regolamento dei trattamenti effettuati dai titolari del trattamento e dai responsabili del trattamento.

Meccanismi di certificazione che, se propriamente implementati, possono calmierare l’entità di eventuali sanzioni amministrative.

Nel nostro Paese, ci sono schemi (leggi meccanismi) proprietari di certificazione che, validati da Organismi lungimiranti, sebbene fuori accreditamento hanno l’indiscusso merito di aiutare le organizzazioni nell’applicazione del Regolamento stesso.

Cosa fare, quindi?

  1. Definire il focus, l’obiettivo: Capire cosa si vuole fare e focalizzarsi su quello;
  2. Individuare e valutare le diverse possibilità per raggiungere l’obiettivo;
  3. Pianificare le azioni da intraprendere, come organizzarsi e convergere, all’interno e/o ricorrendo a professionalità esterne, expertises differenti per il comune obiettivo;

e ancora

  1. Analizzare e far fronte agli eventuali ostacoli che vi si frappongono;
  2. Assicurarsi di essere, tutti, sulla stessa lunghezza d’onda … e
  3. PARTIRE!

Marcello Colaianni
Compliance & Management Systems Consultant/Auditor

 

 

 

 

 

 

 

 

 

Il GDPR e i meccanismi di certificazione

In Italia, esistono Standard proprietari conformi al GDPR ma, a onor del vero, un unico meccanismo di certificazione valido in tutta la UE é ancora là da essere riconosciuto come universalmente validato.

A riguardo, durante la partecipazione ad alcuni convegni sento dire quanto sia controproducente, da parte delle Organizzazioni,  l’adozione di un siffatto meccanismo.

Rimango basito!

Innanzitutto, ricordiamo tutti che “gli Stati membri, le autorità di controllo, il comitato e la Commissione incoraggiano, in particolare a livello di Unione, l’istituzione di meccanismi di certificazione della protezione dei dati” …
… e questo vorrà dire qualcosa, no?   

In secondo luogo è fondamentale sapere che, sebbene l’istituzione del meccanismo di certificazione sia facoltativa, l’adeguata implementazione e idonea applicazione di un sistema di gestione per la protezione dei dati è uno dei fattori presi in considerazione per calmierare l’entità delle sanzioni amministrative, qualora comminate.

È vero! Una volta che s’intraprende questo cammino virtuoso … non si può più tornare indietro, pena il rischio di:

  1. vedersi revocata la certificazione,
  2. vedere comunicata la revoca della certificazione all’autorità di controllo
  3. ritrovarsi ancor più vulnerabili di fronte alle eventuali ispezioni circa l’applicazione del Regolamento.

Ma mi chiedo:

  • qualunque Sistema di gestione aziendale, e quindi anche il DPMS (Data Protection Management System), non ha come mission quello di sollecitare l’organizzazione a dare sempre il meglio di sé?
  • Perché temere il peggio  se l’Organizzazione si struttura adeguatamente in modo da garantire la propria compliance a tutte le norme di legge … e di sistema?
  • Perché soffermarsi e vedere il bicchiere mezzo vuoto invece di cogliere un’opportunità per dare ancor più valore all’immagine, alla propria reputazione ed alle proprie risorse umane?

Un’altra riflessione è doverosa, in questa sede.

L’Organizzazione che voglia assumere in toto la paternità della propria compliance al GDPR può, in alternativa, ricorrere alla linea guida UNI ISO 19600:2016 – Sistemi di gestione della conformità (compliance) – Linee guida quale utile e validato riferimento ed evidenza oggettiva circa l’adeguamento al Regolamento. Certo, non si può parlare di certificazione bensì di attestazione … ed è sempre un primo passo, no?

In conclusione:

  1. ben venga qualunque evidenza volta a dimostrare l’osservanza e l’adeguatezza al GDPR;
  2. ben venga l’adozione di meccanismi di certificazione e di codici di condotta che possono calmierare l’entità di eventuali sanzioni;
  3. ben venga, più di ogni altra cosa, l’istituzione di un modello organizzativo che, oltre a dare evidenza della propria conformità ai requisiti, costituisca quel corpus di istruzioni che dettano i più appropriati comportamenti in grado di rassicurare i propri clienti ed interessati e di esaltare le proprie risorse, l’identità aziendale e chi, della tua Organizzazione, è parte attiva.

Marcello Colaianni
DPO e Privacy Consultant KHC Certified n. 2108
Data Protection Auditor KHC Certified n. 2121

GDPR: non solo “Legge” e “Informatica”

Il GDPR è ormai sulla bocca di tutti e tutti, chi più chi meno, siamo consapevoli delle azioni da intraprendere al fine del più appropriato adeguamento al Reg. 679/2016 in materia di protezione delle persone fisiche con riferimento ai dati personali ed alla libera circolazione di questi.

Confrontandomi con colleghi e aziende, tuttavia, rilevo che del GDPR è stato compreso l’approccio giuridico, e non poteva essere altrimenti trattandosi di una norma di legge, e quello informatico per i concetti richiamati nella norma che riconducono, agevolmente, ad una terminologia di tipo cyber security quasi a formare una linea retta con due punti che segnano l’inizio e la fine del processo di adeguamento al GDPR.

Resto un po’ spaesato quando faccio notare tutto quello che c’è in mezzo.
Ma cosa c’è in mezzo?

In mezzo c’è il processo che oltre a presupporre la più appropriata interpretazione della norma (approccio giuridico) e l’adozione delle misure tecniche (approccio di  information security) prevede e suggerisce la definizione di misure organizzative quali:

  • la progettazione dell’Organigramma per la Data Protection con identificazione e nomina di tutti gli attori interessati;
  • la predisposizione di politiche, accordi, regolamentazioni, procedure, istruzioni; 
  • l’adozione di misure preventive e cautelative riconducibili al concetto di Data protection by design e by default;
  • l’ informativa e il consenso, il registro delle attività di trattamento,
    la formazione;
  • la valutazione dei rischi di illiceità/inadeguatezza nel trattamento dei dati degli interessati;
  • la DPIA, in presenza di presupposti;
  • l’adesione a codici di condotta;
  • l’implementazione di meccanismi di certificazione;
  • la certificazione di un sistema aziendale di gestione della protezione dei dati;
  • le attività di Audit di prima, seconda e terza parte;
  • ecc.

Da qui si evince perché, per l’adeguamento al Regolamento in discorso, non si può ricondurre tutto ad expertises giuridiche e informatiche, il che è di per sé un’ottima base di partenza.
Queste devono essere opportunamente accompagnate dalle abilità:

  • del Formatore,
  • del Risk manager, 
  • del Sistemista, ovvero del consulente avvezzo nei Sistemi di Gestione Aziendale ed in particolare in quello di Data Protection,
  • dell’Auditor … 

… ed allo stesso tempo ci si rende conto anche della necessità di una nuova cultura aziendale e di fare riferimento a persone, dentro e fuori l’azienda, autorevoli e competenti, carismatiche e con capacità di relazione a tutti i livelli e funzioni avvalendosi, all’occorrenza, di mentori che, forti della propria esperienza, possano intervenire e guidare l’Organizzazione nel raggiungimento dell’obiettivo.

                                Marcello Colaianni
DPO e Privacy Consultant KHC Certified n. DPO2108
 Data Protection Auditor KHC Certified n. DPO2121

 

La Privacy nelle scuole … e non solo

Il Regolamento UE 679/23016 in materia di Protezione dei dati personali si estende al contesto scolastico/universitario e, in senso lato, a quello della Formazione in generale.
Scuole, Università ed Enti di formazione devono attivarsi ed adempiere puntualmente agli obblighi del GDPR intraprendendo azioni di Data Protection by design e by default.

Identificare gli addetti ai lavori, progettare e realizzare la più adeguata struttura organizzativa identificando, e nominando, le diverse figure della privacy anche alla luce della norma UNI 11697 e procedere ad una esauriente valutazione dei rischi sono solo alcune delle attività a cui far fronte.
La tenuta del Registro della attività di trattamento ed altre misure tecniche e organizzative sono volte a dare garanzia circa la fidatezza dei dati personali dal punto di vista organizzativo, fisico e logico costituiscono il minimo comune denominatore di un processo culturale ed evolutivo.


La nomina obbligatoria del Responsabile della protezione dei dati (RPD/DPO) é una delle novità apportate dal GDPR e costituisce utile e prezioso riferimento e conforto sul fatto che l’Organizzazione sia compliant.

Individuate le categorie di dati personali oggetto di trattamento, gli interessati al trattamento ovvero le persone di cui sono trattati i dati, ricordiamoci dei cosiddetti terzi fra i quali sono chiaramente identificabili gli incaricati cioè coloro che, in forza delle proprie mansioni, effettuano operativamente il trattamento dei dati … e se, infine, teniamo bene a mente che per trattamento si intende:

  • qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione

si capisce il livello di estensione di questa normativa.

Lungi dal rischio di incorrere nelle sanzioni milionarie e coadiuvati dal consulente esterno, i diversi attori sono chiamati all’attuazione di tutte le azioni necessarie e volte a dare evidenza della conformità delle proprie attività di trattamento dei dati personali al Regolamento UE 679/2016 che, già in vigore dal 25 maggio 2016, troverà piena applicazione dal 25 maggio 2018.

                     Marcello Colaianni
DPO e Privacy Consultant KHC Certified n. 2108
  Data Protection Auditor KHC Certified n. 2121

 

 

 

 

 

 

Il COACHING al servizio della QUALITA’

La norma UNI EN ISO 9001 “Sistemi di gestione per la qualità – Requisiti” si rinnova introducendo prepotentemente concetti, già richiamati implicitamente nelle precedenti edizioni, che trovano qui una chiara ed incisiva collocazione. Mi riferisco a quelli di contesto, parti interessate e di risk based thinking.

In questa sede, però, mi voglio soffermare sull’importanza del Mentoring e del Coaching quali strumenti fondamentali nell’applicazione del Sistema di Gestione per la Qualità.

Una preliminare definizione dei suddetti termini è sicuramente opportuna:

  • il Mentoring è l’attività con cui il mentor, con competenze di coaching, accompagna l’individuo nella crescita e sviluppo personale nel contesto lavorativo, familiare o sociale forte, anche, dell’esperienza personale maturata;
  • il Coaching è una professione di affiancamento alla persona con cui il coach facilita, anche con la motivazione, l’elicitazione delle risorse dell’individuo.
  • Per una maggiore comprensione dei termini Mentoring e Coaching si rimanda al link ed agli articoli inseriti nel mio blog.

A farne riferimento, non è un caso, sono i paragrafi A.7 “Conoscenza organizzativa” della 9001 e 6.3.3 “Coinvolgimento e motivazione delle persone” della UNI EN ISO 9004 “Gestire un’organizzazione per il successo durevole – L’approccio della gestione per la qualità”.

  • Al § 9001/A.7 “Conoscenza organizzativa” il requisito prevede:
    Il punto 7.1.6 della presente norma internazionale tratta l’esigenza di determinare e gestire la conoscenza in possesso dell’organizzazione, per assicurare il funzionamento dei suoi processi e che essa possa conseguire la conformità di prodotti e servizi.
    I requisiti che riguardano la conoscenza organizzativa sono stati introdotti allo scopo di:
    a) salvaguardare l’organizzazione dalla perdita delle conoscenze, per esempio, a causa dell’avvicendamento del personale e della mancata acquisizione e condivisione delle informazioni e
    b) incoraggiare l’organizzazione ad acquisire conoscenze, per esempio, attraverso l’apprendimento dall’esperienza, il mentoring e il benchmarking.
  • Al § 9004/6.3.3 “Coinvolgimento e motivazione delle persone” il paragrafo prevede che:
    L’organizzazione motivi le persone affinché comprendano il significato e l’importanza delle loro responsabilità ed attività, in relazione alla creazione ed all’apporto di valore per i clienti e per le altre parti interessate.
    Per accrescere il coinvolgimento e la motivazione delle proprie persone, l’organizzazione deve prendere in considerazione attività quali:
    – sviluppare un processo per condividere le conoscenze e per utilizzare la competenza delle persone, per esempio uno schema per raccogliere le idee per il miglioramento;
    – introdurre un appropriato sistema di riconoscimenti e premi, basato su una valutazione individuale di quanto realizzato dalle persone;
    – predisporre un sistema di qualificazione delle abilità e una pianificazione delle carriere, allo scopo di promuovere lo sviluppo personale;
    – riesaminare in continuo il livello di soddisfazione e le esigenze ed aspettative delle persone;
    – offrire opportunità di mentoring e coaching.

 Ci si rende conto, quindi, di quanto sia fondamentale il ricorso al Coaching ed al Mentoring ai fini dell’implementazione e miglioramento continuo del Sistema di Gestione per la Qualità … e non solo!

Il Coaching, infatti, si sviluppa nelle diverse tipologie adattative alle specifiche necessità aziendali, latu sensu, rivolgendosi, secondo esigenza, all’organizzazione nel suo insieme (Corporate/Organizational coaching), al Top management (Executive c.), agli attori della sicurezza sul lavoro (Safety c.), allo sviluppo ed omogeneità del brand aziendale (Partnership c.), al raggiungimento di obiettivi comuni (Team c.) … tenendo in  debito conto gli aspetti di:

  • acknowledging che, nel riconoscere il comportamento ed i contributi positivi della persona, migliora la motivazione, la produttività, la messa a fuoco degli obiettivi e la soddisfazione lavorativa;
  • celebrating quale fattore essenziale per conferire significato alla vita.

 

Il REGOLAMENTO UE 679/2016 negli studi professionali

Con il presente articolo mi rivolgo agli studi professionali, ed ai Centri di elaborazione dati, in merito all’applicazione del Regolamento UE 679/2016 ed alla nomina del Responsabile della protezione dei dati (RPD), il DPO, come richiamato nei miei precedenti articoli.

Innanzitutto occorre verificare il campo di applicazione per il quale la normativa de quo va osservata:

  • trattamento interamente o parzialmente automatizzato di dati personali e al trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi;
  • trattamento dei dati personali effettuato nell’ambito delle attività di uno stabilimento (sede o unità produttiva) da parte di un titolare del trattamento o di un responsabile del trattamento nell’Unione, indipendentemente dal fatto che il trattamento sia effettuato o meno nell’Unione;
  • trattamento dei dati personali di interessati che si trovano nell’Unione, effettuato da un titolare del trattamento o da un responsabile del trattamento che non è stabilito nell’Unione, quando le attività di trattamento riguardano: a) l’offerta di beni o la prestazione di servizi ai suddetti interessati nell’Unione, indipendentemente dall’obbligatorietà di un pagamento dell’interessato;
  • monitoraggio del loro comportamento nella misura in cui tale comportamento ha luogo all’interno dell’Unione
  • trattamento dei dati personali effettuato da un titolare del trattamento che non è stabilito nell’Unione, ma in un luogo soggetto al diritto di uno Stato membro in virtù del diritto internazionale pubblico.

Si evince immediatamente che le suddette Organizzazioni devono opportunamente essere identificate e nominate, dai loro clienti, quali Responsabili esterni del Trattamento dei Dati Personali e, in seno ad essi, procedere con la nomina del RPD … e per verificare proprio l’esistenza del presupposto di obbligatorietà della nomina del RPD mi soffermo sui concetti di: larga scala, regolare e sistematico monitoraggio e attività principali.

Gli studi professionali trattano dati personali degli interessati (i clienti intesi come persone fisiche) su larga scala?

In assenza di una chiara, univoca ed inequivocabile definizione di “larga scala” riporto il considerando 91 che a riguardo vi ricomprende i “trattamenti su larga scala, che mirano al trattamento di una notevole quantità di dati personali a livello regionale, nazionale o sovranazionale e che potrebbero incidere su un vasto numero di interessati e che potenzialmente presentano un rischio elevato”.

E ancora, è stabilito che: “Il trattamento di dati personali non dovrebbe essere considerato un trattamento su larga scala qualora riguardi dati personali di pazienti o clienti da parte di un singolo medico, operatore sanitario o avvocato”.

Il secondo inciso porta agevolmente a ritenere che laddove il trattamento riguardi dati personali di interessati effettuato NON dal singolo professionista bensì da un’organizzazione in qualsiasi modo diversamente strutturata (Studio associato, Associazione fra professionisti, CED, ecc.) l’obbligo di nomina del RPD è assolutamente presente.

Altri aspetti da tenere in debita considerazione, come raccomanda il WP29 ovvero il Gruppo dei Rappresentanti dei Garanti Privacy di tutti gli stati membri, sono:

  • il numero di soggetti interessati dal trattamento, in termini assoluti ovvero espressi in percentuale della popolazione di riferimento;
  • il volume dei dati e/o le diverse tipologie di dati oggetto di trattamento;
  • la durata, ovvero la persistenza, dell’attività di trattamento;
  • la portata geografica dell’attività di trattamento …

… e si ricordi che fra i dati personali trattati delle suddette organizzazioni ci sono, in maniera più o meno significativa, anche quelli particolari (che rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della perso) e giudiziari.

Con riferimento al concetto di “larga scala”, come sopra esplicitato, ritengo che l’obbligo di nomina del RPD sussista, indifferentemente, in ipotesi di attività:

  • svolte da 2 o più soggetti (2 professionisti, 1 professionista ed il collaboratore, ecc.);
  • caratterizzate da un durevole e persistente trattamento;
  • con un volume di dati trattati significativo
  • con particolari tipologie di dati oggetto di trattamento.

Relativamente al concetto di “regolare e sistematico monitoraggio” degli interessati trovano sicuramente applicazione, in questa sede, i casi di trattamento:

  • che avviene in modo continuo ovvero a intervalli definiti per un arco di tempo definito;
  • ricorrente o ripetuto a intervalli costanti;
  • che avviene in modo costante o a intervalli periodici
  • che avviene per sistema;
  • predeterminato, organizzato o metodico;
  • che ha luogo nell’ambito di un progetto complessivo di raccolta di dati;
  • svolto nell’ambito di una strategia.

Il Regolamento, infine, fa riferimento alle attività principali svolte del titolare del trattamento o del responsabile del trattamento per le quali, al considerando 97 è riportato che le attività principali di un titolare del trattamento “riguardano le sue attività primarie ed esulano dal trattamento dei dati personali come attività accessoria”. Con “attività principali” si possono intendere le operazioni essenziali che sono necessarie al raggiungimento degli obiettivi perseguiti dal titolare o dal responsabile del trattamento.

Per altro si consideri che l’espressione “attività principali” non va interpretata nel senso di escludere quei casi in cui il trattamento di dati costituisce una componente inscindibile dalle attività svolte dal titolare o dal responsabile.

Per quanto sopra, concludendo, sono del parere che i soggetti qui presi in esame devono opportunamente organizzarsi con la nomina, al proprio interno, di un RPD che va segnalato come interlocutore di riferimento:

  • per quel determinato cliente;
  • per tutti gli interessati al trattamento dei dati di quel determinato cliente;
  • per l’autorità di controllo nazionale, il Garante della Privacy.

                    Marcello Colaianni
  
DPO e Privacy Consultant KHC Certified n. 2108Data Protection Auditor KHC Certified n. 2121