COMPLIANCE & ENTERPRISE MANAGEMENT SYSTEMS

Da tempo, sempre più, ci accorgiamo di quanto la normativa cogente si trovi affiancata da norme volontarie che trattano, da un punto di vista sistemico, la materia.

E’ il caso, per esempio:

  1. dell’Anticorruzione che, disciplinata nell’ambito del D. Lgs. 231/01, dalla L. 190/2012, dal D. Lgs. 38/2017 e dalla L. 3/2019, è normata dallo standard UNI ISO 37001:2016;
  2. della Sicurezza sul lavoro con il D. Lgs. 81/08, da una parte, e la UNI ISO 45001, già OHSAS 18001, dall’altra;
  3. della Responsabilità Sociale, a cui fanno riferimento Leggi di stabilità e di bilancio nonché la SA8000, la UNI ISO 26000 e vari modelli di rendicontazione quali Q-RES e AA1000;
  4. dell’Igiene del prodotto alimentare di cui al Decreto Legislativo 193/07 e UNI EN ISO 22000:2018;
  5. della normativa Ambientale che vede il D. Lgs. 152/2006 a livello cogente e la UNI EN ISO 14001 e EMAS a livello volontario.

Ovviamente non si tratta di alternative; la normativa cogente va debitamente osservata dalle Organizzazioni e costituisce requisito preliminare nell’implementazione di un qualsiasi sistema di gestione aziendale.

La decisione di adottare uno standard di riferimento quale adeguamento volontario a requisiti di sistema porta tanti vantaggi in più:

  1. una linea guida nell’applicazione delle leggi;
  2. la diffusione di una cultura dentro e fuori l’organizzazione;
  3. un biglietto da visita che enfatizza la propria sensibilità nello specifico argomento all’insegna delle esigenze ed aspettative dei propri stakeholders;
  4. una visibilità a livello internazionale;
  5. un più facile accesso alla partecipazione ai bandi di gara.

Da qui, la consapevolezza di questa esigenza; un’esigenza di mercato, del lavoro e della concorrenza, soddisfatta dall’opportunità di coniugare normativa cogente e volontaria all’unisono secondo un approccio evolutivo e insieme innovativo.

Marcello Colaianni
Compliance & Management Systems Consultant / Auditor
Certified DPO e Privacy Auditor UNI11697
Certified DP Auditor ISDP 10003:2018 Scheme

 

 

Annunci

Culpa in eligendo, culpa in vigilando e principio di effettività nelle relazioni fra TTDP e RTDP

Nelle relazioni fra Titolare del trattamento e Responsabile del trattamento, al di là del dettato normativo, sono state espresse tante, a volte troppe, interpretazioni del tipo:

  • il Titolare del trattamento deve o può (?) nominare il Responsabile del trattamento ….;
  • il Responsabile del trattamento comunica al Titolare l’assunzione di incarico in forza di …;
  • il Titolare ed il Responsabile sottoscrivono un contratto negoziando sui suoi contenuti … .

Sono tutte considerazioni legittime che, però, determinano comportamenti differenziati e, non sempre, allineati ai requisiti del GDPR.
Ragioniamo, insieme, con il Regolamento alla mano riportando innanzitutto le definizioni che seguono:

  • «titolare del trattamento»: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali (…);
  • «responsabile del trattamento»: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento.

Si evince, fin da subito, come sia il Titolare del trattamento a fare il primo passo nei confronti del Responsabile, e non viceversa perché è quest’ultimo che, in virtù di un mandato o contratto di servizi sottoscritto con il Titolare, tratta dati personali a questi riconducibili. E proprio in funzione del contratto di servizi, o del mandato, che i dati personali riconducibili al Titolare saranno più o meno ampi con riferimento alla categoria di dati trattati (dati personali, particolari, giudiziari penali) piuttosto che ai mezzi di trattamento o altro ancora.

Questa è ancora la fase in cui è “semplicemente” stabilito il rapporto professionale fra le parti. Quindi lo studio dell’Avvocato, del Consulente del lavoro o della Società di consulenza in materia di privacy, per fare solo pochi esempi, in virtù del suddetto mandato o contratto, si pongono come Responsabili del trattamento nei confronti del loro assistito ovvero del loro cliente.

Il Reg. UE 679/2016, al primo paragrafo dell’art. 28, recita: “Qualora un trattamento debba essere effettuato per conto del titolare del trattamento, quest’ultimo ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato”.

È indubbio che nel farsi rappresentare dall’avvocato, nelle sedi giudiziarie, o nel ricorrere al consulente del lavoro per la gestione paghe dei propri dipendenti o alla società di consulenza per adeguarsi alla normativa sulla privacy si sta facendo riferimento ad un trattamento di dati personali che deve essere effettuato per conto del titolare del trattamento.

A questo punto, se il servizio è garantito dalla firma del contratto sottoscritto fra cliente e fornitore, occorre far sì che anche il rapporto fra Titolare (ovvero il Cliente) e Responsabile (cioè il Fornitore), ai fini privacy, sia ugualmente garantito.

Come? Semplice: il Titolare nomina il proprio Fornitore come Responsabile del trattamento.
In che modo? Con un contratto o altro atto giuridico!

Ed ecco il semaforo rosso! Come fa il Titolare a ricorrere ovvero nominare quell’avvocato, quel consulente o quella società se non sa nemmeno se presentano garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato?

I suddetti soggetti, già per loro conto in quanto Titolari dei propri dati personali, devono adempiere al regolamento. Quindi, già di per sé sono tenuti al rispetto del GDPR. L’assunzione del ruolo di RTDP conseguente alle relazioni con il Titolare non costituisce una fattispecie diversa se non quella dettata dalla contestualizzazione dei rapporti nello svolgimento della propria attività. Infatti l’Avvocato, il Consulente e la Società, nei confronti dei loro fornitori, si pongono a loro volta come titolari.
Titolari e Responsabili sono entrambi terzi alternandosi di volta in volta a seconda dello specifico contesto. Ce lo ricorda l’art. 4, che al punto 10) del primo paragrafo, definisce <<terzo>>: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che non sia l’interessato, il titolare del trattamento, il responsabile del trattamento e le persone autorizzate al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile.

A dispetto di tutto ciò, la nomina a RTDP (esterno) non viene sottoscritta; chissà per quale motivo (??).

Il Titolare a questo punto può assumere due comportamenti: sostituire il professionista o soprassedere perché prevalgono le competenze specifiche. Ma ahimè, la mancata sottoscrizione del contratto, di nomina del RTDP, determina una sanzione amministrativa pecuniaria.

Infatti, l’art. 83/679/2016 dispone che (…) la violazione delle disposizioni seguenti è soggetta a sanzioni amministrative pecuniarie fino a 10 000 000 EUR, o per le imprese, fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore nei casi di: a) gli obblighi del titolare del trattamento e del responsabile del trattamento a norma degli articoli 8, 11, da 25 a 39, 42 e 43.
Come si può notare, l’art. 28 ci sta; è specificatamente considerato.

Un altro aspetto per cui la nomina del RTDP è oltremodo doverosa e opportuna è quello esplicitato all’art. 82/679/2016 in materia di Diritto al risarcimento e responsabilità e, più precisamene, in materia di responsabilità solidale.

Al Titolare, quindi, può essere obiettato il fatto che il soprassedere alla sottoscrizione del contratto di nomina del RTDP è contrario ai suoi obblighi di messa in atto delle misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento con un rischio, appunto, di sanzione amministrativa pecuniaria fino a 10 000 000 EUR, o per le imprese, fino al 2 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore per inosservanza del combinato disposto ex artt. 24, 28 e 83 del GDPR.

Per quanto sopra, oggettivamente, al Titolare non può essere attribuita una culpa in eligendo laddove i RTDP nominati dovessero disattendere i requisiti di idoneità e adeguatezza. Abbiamo detto perché obbligati al rispetto del Regolamento, fin dall’origine, in qualità di TTDP.

Altro è invece se parliamo di culpa in vigilando. Fra le istruzioni che il Titolare impartisce al RTDP, infatti, è obbligatoria anche quella che prevede di poter svolgere, direttamente e/o indirettamente, attività di revisione e ispezione. Facoltà del tutto legittima anche se estesa a tutta la filiera dei soggetti che, direttamente o meno, trattano dati personali riconducibili al Titolare … fino al gestore del cloud.

Per chi, infine, ritiene che la nomina del RTDP è, persino, irregolare dichiarando il prevalere del cosiddetto principio di effettività per cui il RTDP è tale di fatto e non deve ricevere nessun incarico formale, per la semplice esistenza di un contratto di fornitura (quando esiste) o del rapporto di compravendita fra le parti, mi permetto di dissentire fortemente perché siffatto principio:

  • deve essere esplicitamente richiamato nella specifica normativa di riferimento;
  • non rientra nel novero dei Principi applicabili al trattamento di dati personali ex art. 5;
  • è palesemente in contrasto al disposto ex art. 28.

Nulla quindi che possa essere paragonato al principio di effettività richiamato, per quanto di propria competenza, nella legislazione speciale di cui al:

  • D. Lgs. 81/08 e smi che – all’art. 299/81/08 e smi “Esercizio di fatto di poteri direttivi” – recita: <<Le posizioni di garanzia relative ai soggetti di cui all’articolo 2, comma 1, lettere b), d) ed e), gravano altresì su colui il quale, pur sprovvisto di regolare investitura, eserciti in concreto i poteri giuridici riferiti a ciascuno dei soggetti ivi definiti e
  • D. Lgs. 231/01 e smi che – al comma 1, lett. a) dell’art. 5 “Responsabilità dell´ente” – dispone: <<L´ente è responsabile per i reati commessi nel suo interesse o a suo vantaggio da persone che rivestono funzioni di rappresentanza, di amministrazione o di direzione dell´ente o di una sua unità organizzativa dotata di autonomia finanziaria e funzionale nonché da persone che esercitano, anche di fatto, la gestione e il controllo dello stesso.

Marcello Colaianni
Compliance & Management Systems Consultant/Auditor
Privacy Consultant & DP Auditor Certified

 

 

GDPR e WHISTLEBLOWING

Il Whistleblowing, ovvero la disciplina della segnalazione da parte del dipendente, trova il suo definitivo riconoscimento con l’entrata in vigore della L. 30 novembre 2017, n. 179 Disposizioni per la tutela degli autori di segnalazioni di reati o irregolarità di cui siano venuti a conoscenza nell’ambito di un rapporto di lavoro pubblico o privato.

In ambito pubblico, il suddetto istituto era già noto grazie al D.P.R. 16 aprile 2013, n. 62 Regolamento recante codice di comportamento dei dipendenti pubblici, a norma dell’articolo 54 del decreto legislativo 30 marzo 2001, n. 165 dove l’art. 8 recita: Il dipendente (…) fermo restando l’obbligo di  denuncia all’autorità giudiziaria, segnala al proprio superiore gerarchico eventuali situazioni di  illecito  nell’amministrazione  di  cui  sia venuto a conoscenza”.

In ambito privato la sua applicazione viene specificatamente circoscritta al D. Lgs. 231/01 con l’inserimento degli articoli 2-bis, 2-ter e 2-quater. La determinazione del perimetro del whistleblowing in seno alla Disciplina della responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica lascia ben intendere, in realtà, il notevole livello di estensione della validità di questo istituto.

Ai nostri fini, l’argomento coinvolge sicuramente la materia della “Privacy” giacché l’art. 24-bis del D. Lgs. 231/01 contempla i Delitti informatici e trattamento illecito di dati e più precisamente i reati di:

  • Falsità in un documento informatico pubblico o avente valore probatorio (art. 491-bis c.p.);
  • Accesso abusivo ad un sistema informatico e telematico (art. 615-ter c.p.);
  • Detenzione e diffusione abusiva di codici di accesso a sistemi informatici e telematici (art. 615-quater);
  • Diffusione di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico (art. 615-quinquies c.p.);
  • Intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche (art. 617-quater c.p.);
  • Installazione di apparecchiature atte ad intercettare, impedire o interrompere comunicazioni informatiche o telematiche (art. 617-quinquies c.p.);

a cui si aggiungono quelli di cui alla Parte III^ Tutela dell’interessato e sanzioni, Titolo III Sanzioni, Capo II Illeciti penali che, alla luce dello Schema di decreto legislativo recante disposizioni per l’adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679, sono:

  • Trattamento illecito di dati;
  • Falsità nelle dichiarazioni al Garante;
  • Altre fattispecie e
  • Pene accessorie

Per quanto sopra, si può quindi affermare che il D. Lgs. 231/01 si pone come elemento di congiunzione fra la Privacy, nei termini considerati, ed il whistleblowing. E questo vale per tutti coloro che, a vario titolo, vi si adeguano.

A questo punto la domanda sorge spontanea: I soggetti estranei all’obbligo di osservanza del D. Lgs. 231/01 sono comunque tenuti, ai fini della normativa vigente in materia di Data Protection, a prendere in debita considerazione tale istituto e, quindi, anche la predisposizione di idonee procedure di segnalazione?

Evidentemente no! Manca infatti la base giuridica che imponga un siffatto comportamento.

In termini volontaristici, naturalmente, è tutta un’altra cosa!

Sebbene, in questo caso, l’obiettivo sia quello di tutelare direttamente l’Interessato nel trattamento dei suoi dati personali gli effetti che ne derivano sono comunque utili al Titolare, ovvero al Responsabile del trattamento.

L’adozione volontaria di procedure di segnalazione contro il rischio di commissione di reati o irregolarità in materia di Privacy sono del tutto coerenti con il dettato di cui al Reg. UE 679/2016 nonché di quello che rimane del D. Lgs. 196 e di quello che verrà:

  1. perché il trattamento illecito dei dati è contrario al primo dei principi del GDPR;
  2. perché l’adozione di procedure di whistleblowing rientra sicuramente fra le misure tecniche e organizzative che il titolare deve adottare;
  3. perché tali comportamenti precauzionali possono concorrere a calmierare l’importo della sanzione pecuniaria;

e ancora:

  1. perché evita l’incorrere del rischio reclusione;
  2. perché estremamente pertinente nell’ipotesi di implementazione di un sistema di gestione della protezione dei dati personali;
  3. perché valido strumento contro il rischio reputazionale.

Non solo. Laddove il Titolare lungimirante intenda tener conto del whistleblowing un utile e valido  riferimento su come comportarsi è adeguarsi alle indicazioni del decreto 231 ovvero  degli articoli:

<<2-bis che prevede:

  1. uno o piu’ canali che consentano ai soggetti indicati nell’articolo 5, comma 1, lettere a) e b), di presentare, a tutela dell’integrità dell’ente, segnalazioni circostanziate di condotte illecite, rilevanti ai sensi del presente decreto (231) e fondate su elementi di fatto precisi e concordanti, o di violazioni del modello di organizzazione e gestione dell’ente, di cui siano venuti a conoscenza in ragione delle funzioni svolte; tali canali garantiscono la riservatezza dell’identità del segnalante nelle attivita’ di gestione della segnalazione;
  2. almeno un canale alternativo di segnalazione idoneo a garantire, con modalità informatiche, la riservatezza dell’identità del segnalante;
  3. il divieto di atti di ritorsione o discriminatori, diretti o indiretti, nei confronti del segnalante per motivi collegati, direttamente o indirettamente, alla segnalazione
  4. nel sistema disciplinare adottato ai sensi del comma 2, lettera e), sanzioni nei confronti di chi viola le misure di tutela del segnalante, nonché di chi effettua con dolo o colpa grave segnalazioni che si rivelano infondate.

2-ter che dispone: 

L’adozione di misure discriminatorie nei confronti dei soggetti che effettuano le segnalazioni di cui al comma 2-bis puo’ essere denunciata all’Ispettorato nazionale del lavoro, per i provvedimenti di propria competenza, oltre che dal segnalante, anche dall’organizzazione sindacale indicata dal medesimo.

2-quater per cui è stabilito che:

Il licenziamento ritorsivo o discriminatorio del soggetto segnalante è nullo. Sono altresì nulli il mutamento di mansioni ai sensi dell’articolo 2103 del codice civile, nonché qualsiasi altra misura ritorsiva o discriminatoria adottata nei confronti del segnalante. È onere del datore di lavoro, in caso di controversie legate all’irrogazione di sanzioni disciplinari, o a demansionamenti, licenziamenti, trasferimenti, o sottoposizione del segnalante ad altra misura organizzativa avente effetti negativi, diretti o indiretti, sulle condizioni di lavoro, successivi alla presentazione della segnalazione, dimostrare che tali misure sono fondate su ragioni estranee alla segnalazione stessa>>.

Ad assicurarsi circa il rispetto delle regole, se in ambito 231 spetta all’OdV, in questa sede spetta sicuramente al DPO nell’alveo dei suoi compiti istituzionali. In mancanza, è oltremodo opportuno il ricorso a un DP Auditor.

Marcello Colaianni
Compliance & Management Systems Consultant/Auditor
Privacy Consultant & DP Auditor Certified

 

Il GDPR e i meccanismi di certificazione

In Italia, esistono Standard proprietari conformi al GDPR ma, a onor del vero, un unico meccanismo di certificazione valido in tutta la UE é ancora là da essere riconosciuto come universalmente validato.

A riguardo, durante la partecipazione ad alcuni convegni sento dire quanto sia controproducente, da parte delle Organizzazioni,  l’adozione di un siffatto meccanismo.

Rimango basito!

Innanzitutto, ricordiamo tutti che “gli Stati membri, le autorità di controllo, il comitato e la Commissione incoraggiano, in particolare a livello di Unione, l’istituzione di meccanismi di certificazione della protezione dei dati” …
… e questo vorrà dire qualcosa, no?   

In secondo luogo è fondamentale sapere che, sebbene l’istituzione del meccanismo di certificazione sia facoltativa, l’adeguata implementazione e idonea applicazione di un sistema di gestione per la protezione dei dati è uno dei fattori presi in considerazione per calmierare l’entità delle sanzioni amministrative, qualora comminate.

È vero! Una volta che s’intraprende questo cammino virtuoso … non si può più tornare indietro, pena il rischio di:

  1. vedersi revocata la certificazione,
  2. vedere comunicata la revoca della certificazione all’autorità di controllo
  3. ritrovarsi ancor più vulnerabili di fronte alle eventuali ispezioni circa l’applicazione del Regolamento.

Ma mi chiedo:

  • qualunque Sistema di gestione aziendale, e quindi anche il DPMS (Data Protection Management System), non ha come mission quello di sollecitare l’organizzazione a dare sempre il meglio di sé?
  • Perché temere il peggio  se l’Organizzazione si struttura adeguatamente in modo da garantire la propria compliance a tutte le norme di legge … e di sistema?
  • Perché soffermarsi e vedere il bicchiere mezzo vuoto invece di cogliere un’opportunità per dare ancor più valore all’immagine, alla propria reputazione ed alle proprie risorse umane?

Un’altra riflessione è doverosa, in questa sede.

L’Organizzazione che voglia assumere in toto la paternità della propria compliance al GDPR può, in alternativa, ricorrere alla linea guida UNI ISO 19600:2016 – Sistemi di gestione della conformità (compliance) – Linee guida quale utile e validato riferimento ed evidenza oggettiva circa l’adeguamento al Regolamento. Certo, non si può parlare di certificazione bensì di attestazione … ed è sempre un primo passo, no?

In conclusione:

  1. ben venga qualunque evidenza volta a dimostrare l’osservanza e l’adeguatezza al GDPR;
  2. ben venga l’adozione di meccanismi di certificazione e di codici di condotta che possono calmierare l’entità di eventuali sanzioni;
  3. ben venga, più di ogni altra cosa, l’istituzione di un modello organizzativo che, oltre a dare evidenza della propria conformità ai requisiti, costituisca quel corpus di istruzioni che dettano i più appropriati comportamenti in grado di rassicurare i propri clienti ed interessati e di esaltare le proprie risorse, l’identità aziendale e chi, della tua Organizzazione, è parte attiva.

Marcello Colaianni
DPO e Privacy Consultant KHC Certified n. 2108
Data Protection Auditor KHC Certified n. 2121

I Partiti, i Sindacati ed il GDPR

I partiti e i sindacati sono chiamati ad adeguarsi al Regolamento UE 679/2016 in materia di protezione delle persone fisiche con riferimento ai dati personali ed alla loro circolazione?

Assolutamente si!
A maggior ragione considerando che per definizione questi soggetti trattano non solo i “comuni” dati personali, ma altrettante e fondamentali categorie di dati particolari ovvero sensibili, cioè quelli che “rivelano (…), le opinioni politiche, (…), o l’appartenenza sindacale (…)”.  

A cosa sono tenuti?

Naturalmente a tutte le incombenze previste per la generalità delle Organizzazioni. Quindi, le consuete Informative e Richieste di consenso, l’identificazione e nomina delle figure della privacy, la tenuta del Registro dei trattamenti e, non ultimo, la nomina del Responsabile della protezione dei dati (RPD/DPO).

A cosa vanno incontro, in ipotesi di mancata osservanza ai requisiti di legge?

Al rischio sanzioni amministrative fino a € 10 mln o 20 mln in base alla tipologia di requisiti disattesi ed ai successivi comportamenti nonché alle sanzioni penali introdotte dai singoli stati membri.

Quali sono i rischi per la protezione dei dati personali in ambito partitico o sindacale?

Sono quelli che emergono da una puntuale e constestualizzata valutazione dei rischi con riferimento ai dati personali dell’iscritto durante il rapporto con il partito/sindacato.

Vi è anche l’obbligo di predisposizione della Valutazione d’impatto?

Assolutamente si! Per gli stessi motivi per cui sono tenuti alla designazione del RPD.  

C’è qualche scappatoia per evitare di esserne assoggettati?

NO! E se il nostro legislatore intervenisse in questi termini l’Italia sarebbe per questo soggetta a sanzioni da parte della Unione europea.

Marcello Colaianni
DPO e Privacy Consultant KHC Certified n. 2108
Data Protection Auditor KHC Certified n. 2121

 

 

Normativa volontaria e normativa cogente: quali priorità, quali relazioni.

I Sistemi di Gestione Aziendale certificati sono ormai una realtà consolidata e diffusa fra le multinazionali così come fra le PMI e le microimprese.

Sono uno strumento che comunica, o dovrebbe comunicare, quanto l’Organizzazione è allineata, crede e promuove i propri processi all’insegna del miglioramento continuo (ISO 9001), della propria sensibilità all’ambiente (ISO 14001) o alla sicurezza sul lavoro (OHSAS 18001), per fare qualche esempio, ponendo l’attenzione nei confronti dei suoi molteplici interlocutori e parti interessate.

L’implementazione di questi sistemi, è noto, nasce volontaria e diventa obbligatoria nel momento in cui l’Organizzazione decide di adeguarvisi. Nasce, paradossalmente, obbligatoria quando la certificazione di questo o quel sistema di gestione aziendale è richiesta per la partecipazione a bandi e gare d’appalto.

Ma qual è, prima di ogni altra cosa, l’utilità di un sistema di gestione aziendale certificato?
È quella di differenziarsi sul mercato, di comunicare al mondo di essere migliore dei propri competitor, di dare evidenza che l’Organizzazione oltre a rispettare i requisiti di legge va oltre impegnandosi in iniziative di sviluppo sostenibile e in comportamenti sempre più virtuosi.

Alcune norme di sistema, al proprio interno, prevedono puntualmente l’osservanza ai requisiti di legge e, quindi, il soddisfacimento preliminare del dettato legislativo, pena l’impossibilità per l’impresa di conseguire la relativa certificazione.

Lo dice l’ISO 14001 stabilendo che le prescrizioni legali che riguardano gli aspetti ambientali dell’Organizzazione sono tenute in considerazione, ovvero osservate, nello stabilire, attuare e mantenere attivo il proprio sistema di gestione ambientale.
In altre parole, per prima cosa l’Organizzazione si adegua, per quanto applicabile, alle “Norme in materia ambientale” ex D. Lgs. 152/2006 e smi e leggi collegate, quindi, si attiva ad osservanza di quanto previsto dalla norma di sistema di gestione ambientale UNI EN ISO 14001 per propri fini certificativi.

Nella OHSAS 18001, allo stesso modo, è scritto che “L’organizzazione deve stabilire, attuare e mantenere attiva una procedura/e per identificare e accedere ai requisiti per la S&SL di legge e di altro tipo ad essa applicabili … e dovrà assicurare che tali requisiti di legge e di altro tipo, che essa sottoscrive, siano tenuti in conto per la istituzione, applicazione e mantenimento in attività del sistema di gestione della S&SL”.
Ciò significa che l’azienda, innanzitutto, dovrà attenersi, per quanto applicabile, al dettato normativo ex D. Lgs. 81/08 e smi e leggi collegate in materia di sicurezza sul lavoro e, solo in un secondo momento, preoccuparsi di allinearsi ai requisiti della norma OHSAS 18001.

Si può quindi affermare senza indugio che l’osservanza della legislazione nazionale sia prioritaria e preliminare a qualunque altro ed ulteriore adempimento previsto dalla specifica normativa di sistema.

E per la Qualità ISO 9001?
La norma UNI EN ISO 9001 specifica i requisiti di un sistema di gestione per la qualità quando un’organizzazione:

  1. ha l’esigenza di dimostrare la propria capacità di fornire con regolarità prodotti o servizi che soddisfano i requisiti del cliente e i requisiti cogenti applicabili; e
  2. mira ad accrescere la soddisfazione del cliente tramite l’applicazione efficace del sistema, compresi i processi per migliorare il sistema stesso e assicurare la conformità ai requisiti del cliente e ai requisiti cogenti applicabili.

E ribadisce che: “fra i benefici potenziali per un’organizzazione, derivanti dall’attuazione di un sistema di gestione per la qualità basato sulla presente norma internazionale, c’è la capacità di fornire con regolarità prodotti e servizi che soddisfino i requisiti del cliente e quelli cogenti applicabili”.

Ora, assunto che per requisiti cogenti applicabili si intendono <<i requisiti specificati da un organismo avente potere legislativo ovvero specificati da un’autorità incaricata da un organismo avente potere legislativo>>, ne consegue che in questo caso non interessa più l’obiettivo a cui l’Organizzazione vuole riferirsi, la Certificazione ambientale piuttosto che la Certificazione sulla Sicurezza sul lavoro.

L’attenzione si sposta pesantemente su (tutti) i requisiti cogenti applicabili all’Organizzazione:

  • nella fornitura di prodotti,
  • nella fornitura di servizi.

E questa é una riflessione di grande rilevanza perché legittima gli Auditor per la qualità, in sede di audit di 2a e 3a parte in particolar modo,  ad estendere il loro piano di audit e verificare il livello di osservanza dei requisiti di legge e regolamentari in relazione al settore merceologico in cui opera l’organizzazione oggetto dell’audit.

Esemplificando, anche in forza dei concetti di “Ambiente di lavoro” e di “Dati personali” richiamati dalla 9001, nell’azienda edile, meccanica o siderurgica, per esempio, l’attenzione degli auditor si orienterà prevalentemente sugli aspetti riguardanti la sicurezza sul lavoro essendo strettamente connessi alla fornitura di prodotti.
Allo stesso modo, nelle imprese operanti nei settori delle telecomunicazioni e dell’information technology, il gruppo di audit sarà più sensibilizzato a verificare il grado di applicazione ed osservanza della legislazione vigente in materia di protezione dei dati personali, con riferimento al D. Lgs. 196/2003 e smi, oggi, ed al Reg. Ue 679/2016, dal 25 maggio 2018, essendo, questa, strettamente connessa alla fornitura di servizi.
E l’organizzazione che si occupa di bonifiche ambientali o di trattamento rifiuti sarà inevitabilmente auditata anche per gli aspetti correlati ai requisiti di legge ambientali perché questi sono significativamente impattanti per la fornitura dei suoi servizi.

Ciò premesso, in sede di audit per la qualità, al di là di qualunque mio pensiero e convincimento, c’è da chiedersi se la non conformità di un requisito di legge o regolamentare rilevata sia da considerarsi tale da:

  • impedire il conseguimento della certificazione;
  • interrompere il processo di certificazione;
  • revocare la certificazione;
  • riconsiderare la qualificazione del fornitore

ciò, sebbene ci si trovi fuori dal contesto di una ISO 14001, di una OHSAS 18001, di una ISO 27001 o di un Data Protection Management System.

                                 Marcello Colaianni
Business Coach – Mentor – Compliance Consultant

 

 

 

 

La Chiesa cattolica ed il diritto alla Riservatezza dei dati

In Italia é entrata in vigore, nel dicembre 1996, la Legge 675: “Tutela delle persone e di altri soggetti rispetto alla tutela dei dati personali” a cui ha fatto seguito il D. Lgs. 30 giugno 2003 n. 196: “Codice in materia di protezione dei dati personali” che dovrà dare il giusto spazio, dal 25 maggio 2018, al Reg. Ue 679/2016 “relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati”.

Come si pone la Chiesa cattolica con riferimento alla legislazione de quo?
Ci sono correlazioni fra gli adempimenti in materia da parte degli enti ecclesiastici ed il suddetto regolamento?

La risposta ci viene fornita dal dettato dell’art. 9/679/2016 che al paragrafo 1 dispone: <<E’ vietato trattare dati personali che rilevino (…) le convinzioni religiose (…), nonché trattare dati (…) della persona>> ed al comma 2, lett. d) recita: <<il paragrafo 1 non si applica se il trattamento è effettuato, nell’ambito delle sue legittime attività e con adeguate garanzie, da una fondazione, associazione o altro organismo senza scopo di lucro che persegua finalità (…) religiose (…), a condizione che il trattamento riguardi unicamente i membri, gli ex membri o le persone che hanno regolari contatti con (…) l’associazione o l’organismo a motivo delle sue finalità e che i dati personali non siano comunicati all’esterno senza il consenso dell’interessato>>.

Ne consegue che l’ambiente ecclesiastico deve tenere in debito conto questa normativa tanto più che il trattamento dei dati sensibili è del tutto evidente essendo idonei “a rivelare le convinzioni religiose ovvero l’adesione a associazioni o organizzazioni a carattere religioso”.

Inoltre, l’art. 91 (Norme di protezione dei dati vigenti presso chiese e associazioni religiose) del medesimo regolamento prevede, al §1, che <<Qualora in uno Stato membro chiese e associazioni o comunità religiose applichino, al momento dell’entrata in vigore (25/05/2016) del presente regolamento, corpus completi di norme a tutela delle persone fisiche con riguardo al trattamento, tali corpus possono continuare ad applicarsi purché siano resi conformi al presente regolamento>> …

…e questo corpus è del tutto ravvisabile  nel “Decreto generale” (ed eventuali successive modifiche ed integrazioni), promulgato in data 20 ottobre 1999 dall’allora Presidente della Conferenza Episcopale Italiana Card. Camillo Ruini, che contiene “disposizioni  per la tutela del diritto alla buona fama e alla riservatezza dei dati relative alle persone dei fedeli, degli enti ecclesiastici e delle aggregazioni laicali”; diritto riconosciuto dal can. 220 del codice di diritto canonico.

Non solo. La normativa introdotta nell’ordinamento dello stato italiano (L. 675/96  e D. Lgs. 196/03) e l’osservanza alle sue disposizioni sono facilmente rinvenibili sia nel Decreto stesso sia in istruzioni comportamentali suggerite dall’Avvocato Generale Don Lorenzo Simonelli con riferimento alla “legittimità/opportunità o meno di pubblicare sui siti o social network parrocchiali le fotografie o i video dei ragazzi (anche minorenni) relativi alle attività oratoriane“.

Quindi, verificata la regolare vigenza ed osservanza del corpus di norme a tutela delle persone fisiche con riguardo al trattamento, E’ l’adeguamento al Regolamento Ue a sollecitare l’attenzione di chi di dovere e considerare, per esempio:

  1. la designazione del Responsabile della protezione dei dati,
  2. la regolare predisposizione dell’informativa e la richiesta del consenso scritto
  3. e così via.

Concludendo, è del tutto evincibile come la Chiesa cattolica, latu sensu,  debba opportunamente provvedere ed intraprendere le necessarie azioni ricorrendo al combinato disposto di cui al:

  1. Codice di diritto canonico,
  2. Decreto generale della CEI,
  3. Reg. Ue 679/2016 relativo alla protezione delle persone fisiche con riferimento ai dati personali, nonché alla libera circolazione di tali dati.

 

                          Marcello Colaianni
Privacy Consultant e DP Auditor KHC Certified
DPO UNI11697 KHC Certified

 

 

 

 

 

La Valutazione dei Rischi: attività preliminare ed inclusiva, della DPIA, ad osservanza dei requisiti del GDPR.

La Valutazione dei Rischi (VdR) e la Valutazione d’Impatto (Data Protection Impact Assessment – DPIA) sono due facce della stessa medaglia previste nel Reg. 679/2016.

La VdR è un’attività sempre obbligatoria (v. art. 24/679/2016, c. 1), coinvolge tutte le Organizzazioni ed è preliminare nell’osservanza del GDPR.
Essa é caratterizzata dall’attribuzione di valori di rischio ai dati personali ed al loro trattamento per poter dimostrare di avere tutto sotto controllo e di operare con liceità, trasparenza e correttezza.

La DPIA é esplicitamente richiesta nelle ipotesi in cui i Titolari effettuano:

  • un trattamento di dati personali che, “prevedendo in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche”;
  • a) una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche;
  • b) il trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9, paragrafo 1, o di dati relativi a condanne penali e a reati di cui all’articolo 10; o
  • c) la sorveglianza sistematica su larga scala di una zona accessibile al pubblico;
  • attività di trattamento riconducibili a tutti quei casi che saranno contemplati nell’elenco delle tipologie di trattamenti soggetti al requisito di una valutazione d’impatto sulla protezione dei dati ai sensi del paragrafo 1 ex art. 35.

Per la Valutazione dei Rischi, così come per la DPIA, l’adozione ed applicazione della norma UNI ISO 31000 come metodologia di “Gestione del rischio”  è sicuramente un approccio estremamente valido per dare evidenza della conformità ai requisiti del GDPR.

Ciò premesso, al di là delle condizioni di obbligatorietà della DPIA, l’applicazione sistematica e preliminare della Valutazione dei rischi, aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, può considerarsi inclusiva della valutazione d’impatto e sicuramente utile per una più agevole interazione con gli Interessati e l’Autorità di controllo.

                          Marcello Colaianni
DPO e Privacy Consultant KHC Certified n. 2108
Data Protection Auditor KHC Certified n. 2121

 

 

 

 

 

 

 

Coaching & Compliance

La compliance, ovvero la conformità alla normativa riferita a diversi ambiti riguardanti, per esempio, la Sicurezza sul lavoro, il nuovo Regolamento UE sulla protezione dei dati personali, i reati 231 e l’Anticorruzione spaziando ai diversi Sistemi di gestione aziendale, pone le aziende ad istituzionalizzare funzioni ad hoc con ruoli e responsabilità ben precise.

Quanto sopra sollecita, in maggior misura, le Organizzazioni più strutturate dove job description e procedure forniscono le più appropriate linee guida di comportamento.

L’esperienza ormai consolidata dimostra, tuttavia, che per passare dalle buone intenzioni ai fatti è UTILE che si parta da chiare Vision e Mission a cura del vertice aziendale condivise dai diversi livelli e funzioni dell’Organizzazione.
Tutto ciò presuppone una coesa e allineata interazione fra tutti i soggetti aziendali che solo in TEAM possono raggiungere gli obiettivi prefissati.

La condivisione di un obiettivo comune, il mutuo soccorso, l’orgoglio di appartenenza ad una stessa squadra, funzione, azienda concorrono a muovere ogni individuo e dare il meglio di sé consapevole del suo contributo all’interno dell’operatività di tutti.
Questo comporta il riconoscimento dei propri superiori che, con l’autorevolezza, e non l’autorità, il carisma e l’esempio, trascinano le folle nel raggiungimento dei traguardi, sostengono la stima fra i colleghi e la capacità di cogliere il meglio dai propri collaboratori.

Se l’Organizzazione può ricorrere a questi fondamentali ingredienti dove il rispetto ed il riconoscimento dell’altrui lavoro sono base e motore di ogni iniziativa volta all’innovazione ed all’evoluzione della cultura aziendale … siamo a buon punto.
Se, invece, il clima è pesante e il malcontento aleggia nei vari ambienti e fra le persone, se prevale l’individualità sul comune interesse, viene a mancare l’humus per un terreno fertile e pronto a coltivare i semi del successo…

… E per trovare i semi giusti da piantare ed innaffiare periodicamente occorre guardarsi intorno, tornare alle vecchie, ma sempre valide, tecniche di MBWA (Management By Walking Around) e verificare ciò che manca perché l’azienda si renda conto, finalmente, che fra tutte le risorse a propria disposizione è la Risorsa Umana la più bisognosa di attenzioni.

Solo dopo questo passo, con le idee più chiare e ben formate, si capisce cosa occorre:

  1. uno strumento che possa risvegliare gli animi delle persone e ricondurle ad un comune senso di sé e degli altri dove tutte sono sulla stessa barca ed ognuna mette a disposizione le proprie competenze e capacità e, ancor più importante, le proprie potenzialità;
  2. uno strumento grazie al quale ogni lavoratore possa riscoprire proprie risorse, latenti o fin troppo a lungo sopite, elicitandole sempre più e coniugarle con i nuovi bisogni aziendali;
  3. uno strumento che possa garantire, nel tempo, la continuità di un know how che, nel rispetto delle tradizioni, sappia innovare e rinnovarsi continuamente consentendo, all’Organizzazione, di evolvere ed evolversi, sempre.

Coaching e Mentoring sono lo strumento!

Il Coaching che, secondo esigenza:

  1. ricongiunge le ambizioni aziendali e delle persone che vi lavorano;
  2. rivela nuove esigenze aziendali e le potenzialità di chi ritrova rinnovato e riconosciuto valore nell’assunzione di nuove responsabilità;
  3. riallinea i diversi ruoli portando a scoprire le qualità utili al raggiungimento del comune traguardo …

… ed il Mentoring che, al proprio interno o ricorrendo a Mentor esterni depositari di differenziate esperienze, si rivela guida utile nell’istituzione di nuove funzioni o nell’istruzione delle abilità necessarie,”qui e ora”, per dare il meglio di sé, oggi e domani.

                 Marcello Colaianni
Consulente – Business Coach – Formatore

Il COACHING al servizio della QUALITA’

La norma UNI EN ISO 9001 “Sistemi di gestione per la qualità – Requisiti” si rinnova introducendo prepotentemente concetti, già richiamati implicitamente nelle precedenti edizioni, che trovano qui una chiara ed incisiva collocazione. Mi riferisco a quelli di contesto, parti interessate e di risk based thinking.

In questa sede, però, mi voglio soffermare sull’importanza del Mentoring e del Coaching quali strumenti fondamentali nell’applicazione del Sistema di Gestione per la Qualità.

Una preliminare definizione dei suddetti termini è sicuramente opportuna:

  • il Mentoring è l’attività con cui il mentor, con competenze di coaching, accompagna l’individuo nella crescita e sviluppo personale nel contesto lavorativo, familiare o sociale forte, anche, dell’esperienza personale maturata;
  • il Coaching è una professione di affiancamento alla persona con cui il coach facilita, anche con la motivazione, l’elicitazione delle risorse dell’individuo.
  • Per una maggiore comprensione dei termini Mentoring e Coaching si rimanda al link ed agli articoli inseriti nel mio blog.

A farne riferimento, non è un caso, sono i paragrafi A.7 “Conoscenza organizzativa” della 9001 e 6.3.3 “Coinvolgimento e motivazione delle persone” della UNI EN ISO 9004 “Gestire un’organizzazione per il successo durevole – L’approccio della gestione per la qualità”.

  • Al § 9001/A.7 “Conoscenza organizzativa” il requisito prevede:
    Il punto 7.1.6 della presente norma internazionale tratta l’esigenza di determinare e gestire la conoscenza in possesso dell’organizzazione, per assicurare il funzionamento dei suoi processi e che essa possa conseguire la conformità di prodotti e servizi.
    I requisiti che riguardano la conoscenza organizzativa sono stati introdotti allo scopo di:
    a) salvaguardare l’organizzazione dalla perdita delle conoscenze, per esempio, a causa dell’avvicendamento del personale e della mancata acquisizione e condivisione delle informazioni e
    b) incoraggiare l’organizzazione ad acquisire conoscenze, per esempio, attraverso l’apprendimento dall’esperienza, il mentoring e il benchmarking.
  • Al § 9004/6.3.3 “Coinvolgimento e motivazione delle persone” il paragrafo prevede che:
    L’organizzazione motivi le persone affinché comprendano il significato e l’importanza delle loro responsabilità ed attività, in relazione alla creazione ed all’apporto di valore per i clienti e per le altre parti interessate.
    Per accrescere il coinvolgimento e la motivazione delle proprie persone, l’organizzazione deve prendere in considerazione attività quali:
    – sviluppare un processo per condividere le conoscenze e per utilizzare la competenza delle persone, per esempio uno schema per raccogliere le idee per il miglioramento;
    – introdurre un appropriato sistema di riconoscimenti e premi, basato su una valutazione individuale di quanto realizzato dalle persone;
    – predisporre un sistema di qualificazione delle abilità e una pianificazione delle carriere, allo scopo di promuovere lo sviluppo personale;
    – riesaminare in continuo il livello di soddisfazione e le esigenze ed aspettative delle persone;
    – offrire opportunità di mentoring e coaching.

 Ci si rende conto, quindi, di quanto sia fondamentale il ricorso al Coaching ed al Mentoring ai fini dell’implementazione e miglioramento continuo del Sistema di Gestione per la Qualità … e non solo!

Il Coaching, infatti, si sviluppa nelle diverse tipologie adattative alle specifiche necessità aziendali, latu sensu, rivolgendosi, secondo esigenza, all’organizzazione nel suo insieme (Corporate/Organizational coaching), al Top management (Executive c.), agli attori della sicurezza sul lavoro (Safety c.), allo sviluppo ed omogeneità del brand aziendale (Partnership c.), al raggiungimento di obiettivi comuni (Team c.) … tenendo in  debito conto gli aspetti di:

  • acknowledging che, nel riconoscere il comportamento ed i contributi positivi della persona, migliora la motivazione, la produttività, la messa a fuoco degli obiettivi e la soddisfazione lavorativa;
  • celebrating quale fattore essenziale per conferire significato alla vita.