L’istituto della Certificazione in Svizzera alla luce del GDPR e della Legge federale sulla protezione dei dati (LPD).

La Svizzera non è Stato membro dell’Unione Europea cionondimeno l’osservanza del Regolamento UE 679/2016 (GDPR) trova applicazione anche qui, sia pur in determinate circostanze. In particolare nelle ipotesi in cui le attività di trattamento:

  1. siano riconducibili alla filiale dell’impresa svizzera che si trovi all’interno dell’Unione europea;
  2. riguardino l’offerta di beni o la prestazione di servizi agli interessati che si trovino nell’Unione, indipendentemente dall’obbligatorietà di un pagamento dell’interessato;
  3. riguardino il monitoraggio del comportamento degli interessati nella misura in cui tale comportamento ha luogo all’interno dell’Unione;
  4. siano riconducibili all’impresa svizzera che assume il ruolo di Responsabile del trattamento, per un’impresa europea, nello svolgimento delle attività di cui al punto “2.”

Per quanto in  premessa, in sede di applicazione del GDPR, le imprese svizzere possono essere interessate alla certificazione per la protezione dei dati personali con riferimento alle proprie attività di trattamento.
Certificazione già contemplata dalla Legge federale sulla Protezione dei Dati – LPD (235.1 del 19/6/1992) che, all’art. 11: Procedura di certificazione, dispone:

  1. <<Per migliorare la protezione e la sicurezza dei dati, i fornitori di sistemi e di programmi di trattamento dei dati, nonché le persone private o gli organi federali che trattano dati personali possono sottoporre i loro sistemi, le loro procedure e la loro organizzazione a una valutazione da parte di organismi di certificazione riconosciuti e indipendenti>>.
  2. <<Il Consiglio federale emana disposizioni sul riconoscimento delle procedure di certificazione e sull’introduzione di un marchio di qualità inerente alla protezione dei dati. Esso tiene conto del diritto internazionale e delle norme tecniche riconosciute a livello internazionale>>.

Ma è la lettura del Messaggio – concernente la revisione della legge federale sulla protezione dei dati (LPD) e il decreto federale concernente l’adesione della Svizzera al Protocollo aggiuntivo dell’8 novembre 2001 alla Convenzione per la protezione delle persone in relazione all’elaborazione automatica dei dati a carattere personale concernente le autorità di controllo e i flussi internazionali di dati – del 19 febbraio 2003 a fornire utili ed ulteriori specificazioni:

  • 2.10 – Art. 11: Procedura di certificazione
    “(…)
  • Devono essere sviluppate sia procedure di certificazione di processi operativi rilevanti per la protezione di dati o di strutture organizzative (audit in materia di protezione di dati) sia la valutazione di sistemi o programmi informatici – cioè di prodotti – per quanto riguarda l’osservanza di standard in materia di protezione di dati.

Dal che emerge che ciò di cui si sta parlando è una certificazione di prodotti, processi e servizi fondata sulla norma UNI CEI EN ISO/IEC 17065: Valutazione della conformità – Requisiti per organismi che certificano prodotti, processi e servizi.

  • La procedura di valutazione deve portare, una volta stabilito che le norme legali e tecniche del ramo sono osservate, al conferimento di un marchio di qualità inerente alla protezione di dati. Questo riconoscimento può essere utilizzato dalle ditte di certificazione per scopi pubblicitari e portato a conoscenza del pubblico. Le autorità e ditte certificate sono escluse dall’obbligo di notifica della loro raccolta di dati di cui all’articolo 11a, se hanno comunicato il risultato della valutazione all’Incaricato della protezione dei dati. Questo alleggerimento ha lo scopo di incentivare.

Il conseguimento della certificazione consente quindi ampia pubblicità circa l’assicurazione sull’idoneità, correttezza ed adeguatezza delle proprie attività di trattamento e disimpegna le ditte certificate dall’obbligo di notifica.

  • Gli organismi che svolgono questa procedura di certificazione devono essere indipendenti, dal punto di vista soprattutto organizzativo ma anche tecnico, dai privati o dalle autorità da valutare. Il riconoscimento di questi organismi dovrà essere regolato dal Consiglio federale nell’ordinanza. È anche immaginabile che gli organismi di certificazione debbano disporre di un accreditamento.
    Inoltre l’Incaricato deve verificare se le procedure di valutazione e il conferimento del marchio di qualità sono compatibili con il diritto vigente. Egli può intervenire mediante gli strumenti previsti dalla LPD (raccomandazione, proposta alla commissione della protezione dei dati).

Ora, pur considerato che in Svizzera è in elaborazione uno standard per procedure uniformi in materia di certificazioni inerenti alla protezione di dati, può essere utile sapere che esiste già, sul mercato, un meccanismo di certificazione conforme al GDPR, accreditato Accredia, e promosso dalla Commissione europea: l’International Scheme for Data Protection ISDP 10003:2018.

Il ricorso ad un siffatto meccanismo di certificazione che, di per sé, fornisce già una molteplicità di assicurazioni e garanzie, può essere strumento chiarificatore dello stato dell’arte in Svizzera e, forse, valido suggerimento per gli obiettivi che la Confederazione elvetica vuole raggiungere.

Qui, infatti, il riferimento alla certificazione si fonda:

  • sull’art. 11 della Legge federale sulla protezione dei dati,
  • sull’Ordinanza  sulle certificazioni in materia di protezione dei dati (OCPD) che, aggiornato al 1° novembre 2016, richiama le norme UNI EN ISO 9001: Sistemi di gestione per la qualità – Requisiti e UNI CEI ISO/IEC 27001: Tecnologie informatiche – Tecniche per la sicurezza – Sistemi di gestione per la sicurezza delle informazioni – Requisiti ed altre ordinanze.

Inoltre, nel documento riepilogativo circa lo stato della certificazione di prodotti e servizi si legge: “Dalla discussione è emerso che per il mercato svizzero una certificazione di prodotti informatici (hardware, software o sistemi per l’elaborazione automatizzata dei dati) è improponibile per ragioni giuridiche, tecniche e finanziarie. Diversi partecipanti al gruppo di lavoro hanno però chiesto di introdurre una certificazione dei servizi”.

L’art. 5 della suddetta ordinanza (RS 235.13), tuttavia, fa riferimento alla Certificazione dei prodotti e più precisamente alla certificazione dei prodotti destinati in prevalenza al trattamento di dati personali o generanti, al momento del loro impiego, dati personali, in particolare relativi all’utente rilevando l’effettiva mancanza circa la normazione di una certificazione dei servizi.

Orbene, un piccolo richiamo alle norme ISO torna utile.
Nell’alveo delle norme ISO di Valutazione della conformità si riconoscono:

  • la norma ISO 17020:2012: Requisiti per il funzionamento di vari tipi di organismi che eseguono ispezioni;
  • la norma ISO 17021:2012: Requisiti per gli organismi che forniscono audit e certificazione di sistemi di gestione;
  • la norma ISO 17024:2012: Requisiti generali per organismi che eseguono la certificazione delle persone;
  • la norma ISO 17025:2018: Requisiti generali per la competenza dei laboratori di prova e di taratura e
  • la norma ISO 17065:2012: Requisiti per organismi che certificano prodotti, processi e servizi.

È proprio quest’ultima, la ISO 17065, a fare al nostro caso.

La norma in discorso, infatti, non è quella fondante su cui si basano gli organismi per la certificazione di un sistema di gestione aziendale ma è quella di accreditamento degli organismi che certificano processi, prodotti e servizi.
É quella richiamata nel GDPR, il regolamento 679/2016, a cui le imprese svizzere devono adeguarsi in presenza delle considerazioni in premessa; è la norma:

  • per la certificazione dei prodotti di cui all’art. 5 dell’ordinanza di RS 235.13,
  • per la certificazione di processi operativi rilevanti per la protezione di dati (v- § 2.10 – Art. 11: Procedura di certificazione Messaggio del 19/2/2003 di revisione della LPD).

In conclusione:
fatto salvo il rispetto delle leggi della Confederazione elvetica, cantonali nonché, in presenza di presupposti, del Regolamento UE 679/2016:

  • la certificazione di prodotti, processi e servizi, di cui alla normativa richiamata, viene soddisfatta se effettuata da un organismo di certificazione accreditato in conformità alla ISO 17065. A questi presupposti è sicuramente allineato lo schema ISDP 10003 di Inveo Srl.
  • la certificazione di sistemi, procedure e dell’organizzazione dei fornitori e delle persone private, di cui all’art. 11 della LPD, se non soddisfatta come sopra, deve necessariamente avvenire in conformità a una o più norme fondate sulla ISO 17021 ovvero sulla norma di accreditamento degli organismi che forniscono certificazioni di sistemi di gestione.

In questo caso, però,  è utile che le direttive emanate dall’incaricato – sui requisiti minimi che un sistema di gestione della protezione dei dati deve adempiere – non si limitino a richiamare la ISO 9001 e la ISO 27001 estendendosi, per esempio, alla linea guida BS 10012:2017: Data protection – Specification for a personal information management system e alla ISO 27552 dal titolo “Security techniques – Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management –  Requirements and guidelines” che, pur rientrando fra le norme della famiglia ISO 27000 riguardanti la sicurezza delle informazioni sembra estendere il proprio campo di applicazione agli aspetti inerenti la gestione dei dati personali.

Marcello Colaianni
Certified DPO e DP Auditor UNI 11697

Certified DP Auditor ISDP 10003:2018 Scheme
Compliance & Management Systems Consultant

 

Annunci

La Repubblica di San Marino, il GDPR e la Protezione delle persone fisiche con riguardo al trattamento dei dati personali: considerazioni relative all’istituto della Certificazione.

La Repubblica di San Marino (RSM) non è Stato membro dell’Unione Europea tuttavia il combinato disposto:

  1. ex art. 3/679/2016, § 1: Il presente regolamento si applica al trattamento dei dati personali effettuato nell’ambito delle attività di uno stabilimento da parte di un titolare del trattamento o di un responsabile del trattamento nell’Unione, indipendentemente dal fatto che il trattamento sia effettuato o meno nell’Unione;
  2. ex art. 3/171/2018, comma 1: La presente legge si applica al trattamento interamente o parzialmente automatizzato di dati personali e al trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi, effettuato da chiunque è stabilito nel territorio della Repubblica di San Marino o in un luogo comunque soggetto alla sovranità della Repubblica di San Marino

evidenzia come il Regolamento UE 679/2016 sia del tutto applicabile, ed obbligatorio, anche per le organizzazioni sammarinesi.
Inoltre, la normativa ivi legiferata consente di considerare la RSM un Paese nel quale sono presenti le cosiddette garanzie adeguate di cui all’art. 46/679/2016 ed al Considerando 108 del Regolamento Ue.

Con riferimento alla Certificazione, ex artt. 42 e 43 del GDPR, discende che le relative disposizioni debbano, parimenti, essere prese nella dovuta considerazione.
Ciò premesso, doverosamente, occorre rilevare che l’accreditamento degli Organismi di Certificazione (OdC) richiamati all’art. 44/171/2018 è effettuato, in presenza di presupposti, unicamente dall’Autorità Garante per la protezione dei dati personali della RSM.

Per quanto riguarda l’altro aspetto rilevante, ovvero il fatto che il meccanismo di certificazione debba fondarsi sui requisiti della ISO 17065 piuttosto che della ISO 17021, non ci sono indicazioni specifiche.
Logica vuole che, sulla base delle considerazioni in premessa, le Autorità locali si allineino alle disposizioni del GDPR … e non vedo, personalmente, alternative.

L’art. 43/171/2018, c. 1, infatti, recita: <<Il titolare del trattamento o il responsabile del trattamento possono sottoporre il trattamento effettuato ad un meccanismo di certificazione della protezione dei dati, nonché di sigilli e marchi di protezione dei dati allo scopo di dimostrare la conformità alla presente legge dei trattamenti effettuati dai medesimi titolari e responsabili del trattamento>>.
Identica disposizione di quanto all’art. 42/679/2016, § 1, per la parte di nostro interesse: <<Gli Stati membri, le autorità di controllo, il comitato e la Commissione incoraggiano, in particolare a livello di Unione, l’istituzione di meccanismi di certificazione della protezione dei dati nonché di sigilli e marchi di protezione dei dati allo scopo di dimostrare la conformità al presente regolamento dei trattamenti effettuati dai titolari del trattamento e dai responsabili del trattamento>>.

Da quanto sopra si rileva, ancora una volta, come la valutazione di conformità di un meccanismo di certificazione della protezione dei dati, nonché di sigilli e marchi di protezione dei dati trovi soddisfazione nella norma UNI CEI EN ISO/IEC 17065 che riguarda, compiutamente, i Requisiti per organismi che certificano prodotti, processi e servizi e non nella norma UNI CEI EN ISO/IEC 17021 che, diversamente, riguarda i Requisiti per gli organismi che forniscono certificazione di sistemi di gestione.

A questo punto manca un solo tassello.
La garanzia che gli Organismi di certificazione operino nel rispetto dei requisiti della ISO 17065 è data dall’accreditamento degli stessi da parte dell’Ente nazionale di accreditamento, in Italia, Accredia.
In assenza di un ente di accreditamento nella Repubblica di San Marino trovo estremamente utile ed oltremodo ragionevole prevedere, al comma 2 dell’art. 44/171/2018, anche il requisito dell’accreditamento degli OdC, per altro inclusivo di quanto alle lettere da a) a d), in conformità della norma UNI CEI EN ISO/IEC 17065.

Così facendo, insieme ad un ulteriore allineamento ed uniformità con il Regolamento UE 679/2016, tutte le organizzazioni della Repubblica di San Marino potrebbero facilmente identificare, fra gli altri, lo schema ISDP 10003:2018 certificato Accredia come lo strumento più idoneo a dimostrare la conformità dei trattamenti effettuati dai titolari e responsabili del trattamento così come previsto dalla Legge 21 Dicembre 2018 n.171.

Marcello Colaianni
Certified DPO e DP Auditor UNI 11697
Certified DP Auditor ISDP 10003:2018 Scheme
Compliance & Management Systems Consultant

Il DPO è un AUDITOR!

L’art. 39 ci ricorda quali sono i compiti primari del DPO.

Fra questi, quello dell’Auditor, ovvero il compito di sorvegliare l’osservanza del regolamento, di altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo è sicuramente l’attività che in maggior misura impegna il DPO.

Egli esamina il trattamento di dati personali, valutando il rispetto di leggi e regolamenti applicabili e approva le misure necessarie a eliminare eventuali non-conformità rilevate, mantenendo una posizione indipendente da chi svolge attività manageriali e operative.

Per quanto sopra si evince che la conoscenza della normativa e la capacità di darle la più appropriata interpretazione nella sua applicazione in seno a ciascun Titolare/Responsabile è una prerogativa … che da sola, però, si rivela incompleta.

Essere un auditor significa avere, prima di tutto, specifiche competenze circa le modalità di conduzione degli audit.

Considerato il riferimento ai meccanismi di certificazione ex articoli 42 e 43 del GDPR, il ricorso a norme ISO internazionalmente validate, come la UNI EN ISO 19011 o la UNI EN ISO 17021-1 o la UNI ISO 31000, è logico, conseguenziale ed oltremodo coerente alla citata norma EN-ISO/IEC 17065/2012 a cui devono fare obbligatoriamente riferimento gli organismi di certificazione.

Nella fattispecie lo schema ISDP10003:2018, accreditato ACCREDIA e nominativamente richiamato in alcuni bandi di gara, fornisce chiare indicazioni proprio in merito a politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo …
… Attività di controllo per le quali l’Auditor può avvalersi di specialisti, ovvero dei cosiddetti esperti tecnici in ambito informatico, tecnologico, giuridico o organizzativo nella conduzione degli audit.

Il ricorso alle ulteriori professionalità cui può accedere il DPO, come previsto all’art. 38, va tuttavia circoscritto.
È poco professionale che il DPO si avvali di terzi soggetti quando interloquisce direttamente con il Titolare nell’esplicitazione dei punti della norma; è utile che ne sia adeguatamente e personalmente edotto.
Parimenti dicasi in ipotesi di delega delle attività di formazione e consulenza.
E ancora, laddove venga consultato nella Valutazione dei rischi o d’impatto, ricorrere ad altri ne sminuisce sia la figura sia il ruolo.

Ne consegue che il DPO debba essere personalmente autosufficiente almeno con riferimento alla normativa relativa alla protezione dei dati e agli aspetti di risk management su cui si basa la Valutazione dei rischi così come quella d’Impatto.
Attendersi questo quale requisito implicito dal Titolare del trattamento è assolutamente ragionevole.

È vero, il DPO non è un tuttologo né può esserlo ed allora trova giustificazione, per esempio, il ricorso agli esperti di cyber security.

Quello che è certo, dato anche il suo posizionamento in organigramma, sono le relazioni che pone quotidianamente in essere con le altre funzioni aziendali, oltre che con gli interessati e l’autorità di controllo.
Il suo contributo, fra l’altro, nell’assegnazione o verifica delle responsabilità e competenze al personale gli attribuiscono capacità di osservazione, sensibilità e discernimento.

Si comprende allora l’importanza di quelle abilità volte ad esaltarne gli effetti.
Abilità come la capacità di lavorare in gruppo, di analisi e di sintesi nonché l’assunzione di comportamenti idonei come l’essere di mentalità aperta e flessibile, diplomatici ed insieme tenaci e perseveranti, collaborativi ed in grado di agire con fermezza, sicuri di sé e aperti al miglioramento.

Marcello Colaianni
Certified DPO UNI11697
Valutatore Privacy certificato UNI11697
Certified DP Auditor ISDP10003:2018 scheme

GDPR e WHISTLEBLOWING

Il Whistleblowing, ovvero la disciplina della segnalazione da parte del dipendente, trova il suo definitivo riconoscimento con l’entrata in vigore della L. 30 novembre 2017, n. 179 Disposizioni per la tutela degli autori di segnalazioni di reati o irregolarità di cui siano venuti a conoscenza nell’ambito di un rapporto di lavoro pubblico o privato.

In ambito pubblico, il suddetto istituto era già noto grazie al D.P.R. 16 aprile 2013, n. 62 Regolamento recante codice di comportamento dei dipendenti pubblici, a norma dell’articolo 54 del decreto legislativo 30 marzo 2001, n. 165 dove l’art. 8 recita: Il dipendente (…) fermo restando l’obbligo di  denuncia all’autorità giudiziaria, segnala al proprio superiore gerarchico eventuali situazioni di  illecito  nell’amministrazione  di  cui  sia venuto a conoscenza”.

In ambito privato la sua applicazione viene specificatamente circoscritta al D. Lgs. 231/01 con l’inserimento degli articoli 2-bis, 2-ter e 2-quater. La determinazione del perimetro del whistleblowing in seno alla Disciplina della responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica lascia ben intendere, in realtà, il notevole livello di estensione della validità di questo istituto.

Ai nostri fini, l’argomento coinvolge sicuramente la materia della “Privacy” giacché l’art. 24-bis del D. Lgs. 231/01 contempla i Delitti informatici e trattamento illecito di dati e più precisamente i reati di:

  • Falsità in un documento informatico pubblico o avente valore probatorio (art. 491-bis c.p.);
  • Accesso abusivo ad un sistema informatico e telematico (art. 615-ter c.p.);
  • Detenzione e diffusione abusiva di codici di accesso a sistemi informatici e telematici (art. 615-quater);
  • Diffusione di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico (art. 615-quinquies c.p.);
  • Intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche (art. 617-quater c.p.);
  • Installazione di apparecchiature atte ad intercettare, impedire o interrompere comunicazioni informatiche o telematiche (art. 617-quinquies c.p.);

a cui si aggiungono quelli di cui alla Parte III^ Tutela dell’interessato e sanzioni, Titolo III Sanzioni, Capo II Illeciti penali che, alla luce dello Schema di decreto legislativo recante disposizioni per l’adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679, sono:

  • Trattamento illecito di dati;
  • Falsità nelle dichiarazioni al Garante;
  • Altre fattispecie e
  • Pene accessorie

Per quanto sopra, si può quindi affermare che il D. Lgs. 231/01 si pone come elemento di congiunzione fra la Privacy, nei termini considerati, ed il whistleblowing. E questo vale per tutti coloro che, a vario titolo, vi si adeguano.

A questo punto la domanda sorge spontanea: I soggetti estranei all’obbligo di osservanza del D. Lgs. 231/01 sono comunque tenuti, ai fini della normativa vigente in materia di Data Protection, a prendere in debita considerazione tale istituto e, quindi, anche la predisposizione di idonee procedure di segnalazione?

Evidentemente no! Manca infatti la base giuridica che imponga un siffatto comportamento.

In termini volontaristici, naturalmente, è tutta un’altra cosa!

Sebbene, in questo caso, l’obiettivo sia quello di tutelare direttamente l’Interessato nel trattamento dei suoi dati personali gli effetti che ne derivano sono comunque utili al Titolare, ovvero al Responsabile del trattamento.

L’adozione volontaria di procedure di segnalazione contro il rischio di commissione di reati o irregolarità in materia di Privacy sono del tutto coerenti con il dettato di cui al Reg. UE 679/2016 nonché di quello che rimane del D. Lgs. 196 e di quello che verrà:

  1. perché il trattamento illecito dei dati è contrario al primo dei principi del GDPR;
  2. perché l’adozione di procedure di whistleblowing rientra sicuramente fra le misure tecniche e organizzative che il titolare deve adottare;
  3. perché tali comportamenti precauzionali possono concorrere a calmierare l’importo della sanzione pecuniaria;

e ancora:

  1. perché evita l’incorrere del rischio reclusione;
  2. perché estremamente pertinente nell’ipotesi di implementazione di un sistema di gestione della protezione dei dati personali;
  3. perché valido strumento contro il rischio reputazionale.

Non solo. Laddove il Titolare lungimirante intenda tener conto del whistleblowing un utile e valido  riferimento su come comportarsi è adeguarsi alle indicazioni del decreto 231 ovvero  degli articoli:

<<2-bis che prevede:

  1. uno o piu’ canali che consentano ai soggetti indicati nell’articolo 5, comma 1, lettere a) e b), di presentare, a tutela dell’integrità dell’ente, segnalazioni circostanziate di condotte illecite, rilevanti ai sensi del presente decreto (231) e fondate su elementi di fatto precisi e concordanti, o di violazioni del modello di organizzazione e gestione dell’ente, di cui siano venuti a conoscenza in ragione delle funzioni svolte; tali canali garantiscono la riservatezza dell’identità del segnalante nelle attivita’ di gestione della segnalazione;
  2. almeno un canale alternativo di segnalazione idoneo a garantire, con modalità informatiche, la riservatezza dell’identità del segnalante;
  3. il divieto di atti di ritorsione o discriminatori, diretti o indiretti, nei confronti del segnalante per motivi collegati, direttamente o indirettamente, alla segnalazione
  4. nel sistema disciplinare adottato ai sensi del comma 2, lettera e), sanzioni nei confronti di chi viola le misure di tutela del segnalante, nonché di chi effettua con dolo o colpa grave segnalazioni che si rivelano infondate.

2-ter che dispone: 

L’adozione di misure discriminatorie nei confronti dei soggetti che effettuano le segnalazioni di cui al comma 2-bis puo’ essere denunciata all’Ispettorato nazionale del lavoro, per i provvedimenti di propria competenza, oltre che dal segnalante, anche dall’organizzazione sindacale indicata dal medesimo.

2-quater per cui è stabilito che:

Il licenziamento ritorsivo o discriminatorio del soggetto segnalante è nullo. Sono altresì nulli il mutamento di mansioni ai sensi dell’articolo 2103 del codice civile, nonché qualsiasi altra misura ritorsiva o discriminatoria adottata nei confronti del segnalante. È onere del datore di lavoro, in caso di controversie legate all’irrogazione di sanzioni disciplinari, o a demansionamenti, licenziamenti, trasferimenti, o sottoposizione del segnalante ad altra misura organizzativa avente effetti negativi, diretti o indiretti, sulle condizioni di lavoro, successivi alla presentazione della segnalazione, dimostrare che tali misure sono fondate su ragioni estranee alla segnalazione stessa>>.

Ad assicurarsi circa il rispetto delle regole, se in ambito 231 spetta all’OdV, in questa sede spetta sicuramente al DPO nell’alveo dei suoi compiti istituzionali. In mancanza, è oltremodo opportuno il ricorso a un DP Auditor.

Marcello Colaianni
Compliance & Management Systems Consultant/Auditor
Privacy Consultant & DP Auditor Certified

 

Il GDPR e i meccanismi di certificazione

In Italia, esistono Standard proprietari conformi al GDPR ma, a onor del vero, un unico meccanismo di certificazione valido in tutta la UE é ancora là da essere riconosciuto come universalmente validato.

A riguardo, durante la partecipazione ad alcuni convegni sento dire quanto sia controproducente, da parte delle Organizzazioni,  l’adozione di un siffatto meccanismo.

Rimango basito!

Innanzitutto, ricordiamo tutti che “gli Stati membri, le autorità di controllo, il comitato e la Commissione incoraggiano, in particolare a livello di Unione, l’istituzione di meccanismi di certificazione della protezione dei dati” …
… e questo vorrà dire qualcosa, no?   

In secondo luogo è fondamentale sapere che, sebbene l’istituzione del meccanismo di certificazione sia facoltativa, l’adeguata implementazione e idonea applicazione di un sistema di gestione per la protezione dei dati è uno dei fattori presi in considerazione per calmierare l’entità delle sanzioni amministrative, qualora comminate.

È vero! Una volta che s’intraprende questo cammino virtuoso … non si può più tornare indietro, pena il rischio di:

  1. vedersi revocata la certificazione,
  2. vedere comunicata la revoca della certificazione all’autorità di controllo
  3. ritrovarsi ancor più vulnerabili di fronte alle eventuali ispezioni circa l’applicazione del Regolamento.

Ma mi chiedo:

  • qualunque Sistema di gestione aziendale, e quindi anche il DPMS (Data Protection Management System), non ha come mission quello di sollecitare l’organizzazione a dare sempre il meglio di sé?
  • Perché temere il peggio  se l’Organizzazione si struttura adeguatamente in modo da garantire la propria compliance a tutte le norme di legge … e di sistema?
  • Perché soffermarsi e vedere il bicchiere mezzo vuoto invece di cogliere un’opportunità per dare ancor più valore all’immagine, alla propria reputazione ed alle proprie risorse umane?

Un’altra riflessione è doverosa, in questa sede.

L’Organizzazione che voglia assumere in toto la paternità della propria compliance al GDPR può, in alternativa, ricorrere alla linea guida UNI ISO 19600:2016 – Sistemi di gestione della conformità (compliance) – Linee guida quale utile e validato riferimento ed evidenza oggettiva circa l’adeguamento al Regolamento. Certo, non si può parlare di certificazione bensì di attestazione … ed è sempre un primo passo, no?

In conclusione:

  1. ben venga qualunque evidenza volta a dimostrare l’osservanza e l’adeguatezza al GDPR;
  2. ben venga l’adozione di meccanismi di certificazione e di codici di condotta che possono calmierare l’entità di eventuali sanzioni;
  3. ben venga, più di ogni altra cosa, l’istituzione di un modello organizzativo che, oltre a dare evidenza della propria conformità ai requisiti, costituisca quel corpus di istruzioni che dettano i più appropriati comportamenti in grado di rassicurare i propri clienti ed interessati e di esaltare le proprie risorse, l’identità aziendale e chi, della tua Organizzazione, è parte attiva.

Marcello Colaianni
DPO e Privacy Consultant KHC Certified n. 2108
Data Protection Auditor KHC Certified n. 2121

Il Responsabile della Protezione dei Dati, il Privacy Officer e le altre figure del GDPR

A quasi un anno dalla piena applicazione del GDPR le Organizzazioni si stanno attivando per adeguarsi al Reg. UE 679/2016 che costituirà la normativa di riferimento per antonomasia con riguardo alla protezione dei dati personali e per raggiungere questo obbiettivo investono e si avvalgono di persone qualificate.

Si riconoscono vecchie e nuove figure chiamate, a vario titolo, in affiancamento all’azienda in adeguamento ai nuovi requisiti.

Si ricordano, in particolare:

il Titolare del Trattamento dei Dati Personali (TTDP): la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri;

il Responsabile del Trattamento dei dati personali (RTDP): la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento;

ai quali si aggiungono:

il Rappresentante (del TTDP/RTDP): la persona fisica o giuridica stabilita nell’Unione che, designata dal titolare del trattamento o dal responsabile del trattamento per iscritto ai sensi dell’articolo 27, li rappresenta per quanto riguarda gli obblighi rispettivi a norma del presente regolamento; la persona fisica o giuridica stabilita nell’Unione che, designata dal titolare del trattamento o dal responsabile del trattamento per iscritto ai sensi dell’articolo 27, li rappresenta per quanto riguarda gli obblighi rispettivi a norma del presente regolamento;

i Destinatari: la persona fisica o giuridica, l’autorità pubblica, il servizio o un altro organismo che riceve comunicazione di dati personali, che si tratti o meno di terzi. Tuttavia, le autorità pubbliche che possono ricevere comunicazione di dati personali nell’ambito di una specifica indagine conformemente al diritto dell’Unione o degli Stati 4.5.2016 L 119/33 Gazzetta ufficiale dell’Unione europea IT membri non sono considerate destinatari; il trattamento di tali dati da parte di dette autorità pubbliche è conforme alle norme applicabili in materia di protezione dei dati secondo le finalità del trattamento;

i Terzi: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che non sia l’interessato, il titolare del trattamento, il responsabile del trattamento e le persone autorizzate al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile;

e ancora

gli Interessati: la persona fisica cui si riferiscono i dati personali:

gli Incaricati, annoverabili fra i soggetti terzi di cui sopra;

a cui si aggiunge il Responsabile della protezione dei Dati (RPD / DPO), disciplinato agli artt. 37 a 39.

Si ricorda anche la figura, ormai consolidata, dell’Amministratore di sistema, sebbene abrogata dall’art. 183 comma 1, lettera o), del D. Lgs. 196/03 nonché quelle previste dalla norma UNI, prossima alla pubblicazione:

il Manager Privacy “di taglio squisitamente manageriale, ricopre tutti gli incarichi tipicamente svolti da un RTDP”;

lo Specialista privacy che, “alle dirette dipendenze del Manager Privacy, lo supporta nel mettere a punto gli strumenti necessari a trattare i dati personali”;

il DPO, nominativamente disciplinato dalla normativa in discorso ed

il DP Auditor che, avendo le competenze per monitorare circa la regolare l’applicazione del Regolamento, può identificarsi anche nello stesso DPO rientrando, la sorveglianza dell’osservanza dei requisiti del GDPR, fra i suoi compiti.

Il suddetto elenco, naturalmente, non disconosce ulteriori figure professionali assunte nelle aziende come quelle del Privacy Consultant, del Privacy Officer o del Chief Privacy Officer (CPO) pure coinvolte nell’applicazione della normativa in materia di Data Protection. L’importante, ci ricorda il WP29, é sapere che:

“è fondamentale garantire che non vi siano ambiguità in termini di denominazione, status e compiti di queste figure; è dunque essenziale che in tutte le comunicazioni interne all’azienda e anche in quelle esterne (con l’autorità di controllo, gli interessati, i soggetti esterni in genere), queste figure o consulenti non siano indicati con la denominazione di responsabile per la protezione dei dati (RPD)”.

                          Marcello Colaianni
DPO e Privacy Consultant KHC Certified n. 2108
Data Protection Auditor KHC Certified n. 2121

La Valutazione dei Rischi: attività preliminare ed inclusiva, della DPIA, ad osservanza dei requisiti del GDPR.

La Valutazione dei Rischi (VdR) e la Valutazione d’Impatto (Data Protection Impact Assessment – DPIA) sono due facce della stessa medaglia previste nel Reg. 679/2016.

La VdR è un’attività sempre obbligatoria (v. art. 24/679/2016, c. 1), coinvolge tutte le Organizzazioni ed è preliminare nell’osservanza del GDPR.
Essa é caratterizzata dall’attribuzione di valori di rischio ai dati personali ed al loro trattamento per poter dimostrare di avere tutto sotto controllo e di operare con liceità, trasparenza e correttezza.

La DPIA é esplicitamente richiesta nelle ipotesi in cui i Titolari effettuano:

  • un trattamento di dati personali che, “prevedendo in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche”;
  • a) una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche;
  • b) il trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9, paragrafo 1, o di dati relativi a condanne penali e a reati di cui all’articolo 10; o
  • c) la sorveglianza sistematica su larga scala di una zona accessibile al pubblico;
  • attività di trattamento riconducibili a tutti quei casi che saranno contemplati nell’elenco delle tipologie di trattamenti soggetti al requisito di una valutazione d’impatto sulla protezione dei dati ai sensi del paragrafo 1 ex art. 35.

Per la Valutazione dei Rischi, così come per la DPIA, l’adozione ed applicazione della norma UNI ISO 31000 come metodologia di “Gestione del rischio”  è sicuramente un approccio estremamente valido per dare evidenza della conformità ai requisiti del GDPR.

Ciò premesso, al di là delle condizioni di obbligatorietà della DPIA, l’applicazione sistematica e preliminare della Valutazione dei rischi, aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, può considerarsi inclusiva della valutazione d’impatto e sicuramente utile per una più agevole interazione con gli Interessati e l’Autorità di controllo.

                          Marcello Colaianni
DPO e Privacy Consultant KHC Certified n. 2108
Data Protection Auditor KHC Certified n. 2121

 

 

 

 

 

 

 

Il RTDP ed il DPO quali figure interne all’Azienda in adempimento al Reg. UE 679/2016 con riguardo al trattamento dei dati personali

Il GDPR, ovvero il Reg. UE 679/2016, conferma la figura del Responsabile del Trattamento dei Dati Personali (RTDP) ed introduce quella nuova di Data Protection Officer (DPO), ovvero di Responsabile della Protezione dei Dati.

Come da relativa definizione, <<responsabile del trattamento»: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento>>, si evince che il RTDP può essere un dipendente dell’Organizzazione.

Ciò nonostante, dalla partecipazione a convegni e dal confronto con esimi colleghi, mi sento dire che la prassi sarà quella di affidare in outsourcing i compiti attribuiti a questo soggetto della Data Protection.
Non capisco il perché? Non c’è alcun ostacolo o impedimento di carattere normativo che precluda la nomina di un dipendente al ruolo di RTDP.

La contrattualizzazione ad hoc del rapporto fra il Titolare del Trattamento dei Dati Personali (TTDP) ed il RTDP non impedisce che sia un dipendente a ricoprire siffatto ruolo.

In concreto: laddove sussista già un rapporto di lavoro, il dipendente designato ed il suo datore di lavoro sottoscriveranno, a latere, un contratto apposito nel quale le parti concordano compiti e doveri del RTDP nonché un compenso ed un inquadramento proporzionato al ruolo ed alle nuove responsabilità.

Va da sé che in questa sede si dovrà tenere in debita considerazione l’esistenza dei presupposti in materia di competenze e di altre skill che ci si aspetta che un RTDP abbia, la sua collocazione nell’organigramma nonché i termini e le modalità di riconoscimento di questo compenso aggiuntivo.

Laddove, invece, venisse identificato un dipendente nominato ad hoc, il contratto in discorso andrà ad integrare quello riguardante il rapporto di lavoro dipendente.

Analogo discorso vale per il DPO per il quale è stabilito che: “Il responsabile della protezione dei dati può essere un dipendente del titolare del trattamento o del responsabile del trattamento oppure assolvere i suoi compiti in base a un contratto di servizi”.

Il DPO, è vero, è in conflitto di interessi se ricopre ruoli come quelli di amministratore delegato, responsabile operativo, responsabile finanziario, responsabile sanitario, direzione marketing, direzione risorse umane, responsabile IT, o altre posizioni gerarchicamente inferiori se queste ultime comportano la determinazione di finalità o mezzi del trattamento …

… A meno che si identifichi un dipendente che, in via esclusiva, svolge i compiti propri di un DPO senza sovrapposizioni di sorta.

Anche in questo caso, ben inteso, vanno debitamente considerate le competenze dure e morbide che gli sono proprie, il rapporto gerarchico con il vertice aziendale e, quindi, la sua adeguata collocazione in organigramma e, naturalmente, il riconoscimento anche economico in virtù del proprio ruolo e dei suoi compiti.

Le suddette considerazioni sono volte a chiarire gli effettivi margini di manovra per qualunque Organizzazione sebbene, operativamente, la decisione di nominare un RTDP interno possa rivelarsi non semplice per una serie di motivi.

Ciò premesso, identificate le molteplici figure della Data Protection, il ricorso ai consulenti esterni è sicuramente utile ed opportuno.

                          Marcello Colaianni
DPO e Privacy Consultant KHC Certified n. 2108
Data Protection Auditor KHC Certified n. 2121

 

Coaching & Compliance

La compliance, ovvero la conformità alla normativa riferita a diversi ambiti riguardanti, per esempio, la Sicurezza sul lavoro, il nuovo Regolamento UE sulla protezione dei dati personali, i reati 231 e l’Anticorruzione spaziando ai diversi Sistemi di gestione aziendale, pone le aziende ad istituzionalizzare funzioni ad hoc con ruoli e responsabilità ben precise.

Quanto sopra sollecita, in maggior misura, le Organizzazioni più strutturate dove job description e procedure forniscono le più appropriate linee guida di comportamento.

L’esperienza ormai consolidata dimostra, tuttavia, che per passare dalle buone intenzioni ai fatti è UTILE che si parta da chiare Vision e Mission a cura del vertice aziendale condivise dai diversi livelli e funzioni dell’Organizzazione.
Tutto ciò presuppone una coesa e allineata interazione fra tutti i soggetti aziendali che solo in TEAM possono raggiungere gli obiettivi prefissati.

La condivisione di un obiettivo comune, il mutuo soccorso, l’orgoglio di appartenenza ad una stessa squadra, funzione, azienda concorrono a muovere ogni individuo e dare il meglio di sé consapevole del suo contributo all’interno dell’operatività di tutti.
Questo comporta il riconoscimento dei propri superiori che, con l’autorevolezza, e non l’autorità, il carisma e l’esempio, trascinano le folle nel raggiungimento dei traguardi, sostengono la stima fra i colleghi e la capacità di cogliere il meglio dai propri collaboratori.

Se l’Organizzazione può ricorrere a questi fondamentali ingredienti dove il rispetto ed il riconoscimento dell’altrui lavoro sono base e motore di ogni iniziativa volta all’innovazione ed all’evoluzione della cultura aziendale … siamo a buon punto.
Se, invece, il clima è pesante e il malcontento aleggia nei vari ambienti e fra le persone, se prevale l’individualità sul comune interesse, viene a mancare l’humus per un terreno fertile e pronto a coltivare i semi del successo…

… E per trovare i semi giusti da piantare ed innaffiare periodicamente occorre guardarsi intorno, tornare alle vecchie, ma sempre valide, tecniche di MBWA (Management By Walking Around) e verificare ciò che manca perché l’azienda si renda conto, finalmente, che fra tutte le risorse a propria disposizione è la Risorsa Umana la più bisognosa di attenzioni.

Solo dopo questo passo, con le idee più chiare e ben formate, si capisce cosa occorre:

  1. uno strumento che possa risvegliare gli animi delle persone e ricondurle ad un comune senso di sé e degli altri dove tutte sono sulla stessa barca ed ognuna mette a disposizione le proprie competenze e capacità e, ancor più importante, le proprie potenzialità;
  2. uno strumento grazie al quale ogni lavoratore possa riscoprire proprie risorse, latenti o fin troppo a lungo sopite, elicitandole sempre più e coniugarle con i nuovi bisogni aziendali;
  3. uno strumento che possa garantire, nel tempo, la continuità di un know how che, nel rispetto delle tradizioni, sappia innovare e rinnovarsi continuamente consentendo, all’Organizzazione, di evolvere ed evolversi, sempre.

Coaching e Mentoring sono lo strumento!

Il Coaching che, secondo esigenza:

  1. ricongiunge le ambizioni aziendali e delle persone che vi lavorano;
  2. rivela nuove esigenze aziendali e le potenzialità di chi ritrova rinnovato e riconosciuto valore nell’assunzione di nuove responsabilità;
  3. riallinea i diversi ruoli portando a scoprire le qualità utili al raggiungimento del comune traguardo …

… ed il Mentoring che, al proprio interno o ricorrendo a Mentor esterni depositari di differenziate esperienze, si rivela guida utile nell’istituzione di nuove funzioni o nell’istruzione delle abilità necessarie,”qui e ora”, per dare il meglio di sé, oggi e domani.

                 Marcello Colaianni
Consulente – Business Coach – Formatore

PRIVACY e GDO

La Grande Distribuzione Organizzata rappresenta una della categorie di Titolari del trattamento dei dati personali più coinvolta nell’adeguamento al Regolamento UE 679/2016. È parte interessata anche con riferimento alla nomina del DPO (il Responsabile della Protezione dei Dati).

Trova agevole riscontro il ruolo da protagonista assunto coerentemente al disposto ex art. 37, c. 1 lett. b), che recita: Il titolare del trattamento e il responsabile del trattamento designano sistematicamente un responsabile della protezione dei dati ogniqualvolta le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala …
da cui la riflessione: <<è proprio vero che il monitoraggio regolare e sistematico degli interessati su larga scala rientra fra le attività principali della GDO ?>>

È noto che i Supermercati, e non solo, utilizzano proprie carte di fedeltà ad uso profilazione, prevalentemente per finalità commerciali. Affermare che siffatto trattamento possa considerarsi una semplice attività accessoria e scindibile rispetto a quelle primarie è sicuramente azzardato.

Comunque sia, DPO  a parte, mi sto riferendo ad un processo decisionale automatizzato per cui il Regolamento, al c. 1 dell’art. 22, dispone:
L’interessato ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona.

Ne consegue, per esempio, che è corretto il comportamento assunto laddove il consenso dell’interessato, liberamente espresso, si dimostra rilasciato:

  • nel contesto di una dichiarazione scritta,
  • specificatamente per ciascuna delle diverse finalità per cui il trattamento dei dati è effettivamente effettuato,
  • a fronte di una richiesta comprensibile e facilmente accessibile, utilizzando un linguaggio semplice e chiaro.

Diversamente, si incorre nel rischio di sanzioni amministrative pecuniarie fino a 20.000.000 EUR, o per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.

Un altro aspetto è collegato all’utilizzo degli impianti di sorveglianza per i quali la mancanza di un’idonea informativa ad hoc pone in essere le sanzioni amministrative pecuniarie fino a 20.000.000 EUR, o per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.

L’inosservanza, poi, dell’obbligo della valutazione d’impatto sulla protezione dei dati,  stante l’attività di sorveglianza sistematica su larga scala di una zona accessibile al pubblico, produce sanzioni amministrative pecuniarie fino a 10.000.000 EUR, o per le imprese, fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.

L’implementazione di un Sistema di gestione della protezione dei dati personali certificato rappresenta, inoltre, una delle azioni di protezione dei dati fin dalla progettazione più opportune da intraprendere.

                           Marcello Colaianni
DPO e Privacy Consultant KHC Certified n. 2108
  Data Protection Auditor KHC Certified n. 2121