L’istituto della Certificazione in Svizzera alla luce del GDPR e della Legge federale sulla protezione dei dati (LPD).

La Svizzera non è Stato membro dell’Unione Europea cionondimeno l’osservanza del Regolamento UE 679/2016 (GDPR) trova applicazione anche qui, sia pur in determinate circostanze. In particolare nelle ipotesi in cui le attività di trattamento:

  1. siano riconducibili alla filiale dell’impresa svizzera che si trovi all’interno dell’Unione europea;
  2. riguardino l’offerta di beni o la prestazione di servizi agli interessati che si trovino nell’Unione, indipendentemente dall’obbligatorietà di un pagamento dell’interessato;
  3. riguardino il monitoraggio del comportamento degli interessati nella misura in cui tale comportamento ha luogo all’interno dell’Unione;
  4. siano riconducibili all’impresa svizzera che assume il ruolo di Responsabile del trattamento, per un’impresa europea, nello svolgimento delle attività di cui al punto “2.”

Per quanto in  premessa, in sede di applicazione del GDPR, le imprese svizzere possono essere interessate alla certificazione per la protezione dei dati personali con riferimento alle proprie attività di trattamento.
Certificazione già contemplata dalla Legge federale sulla Protezione dei Dati – LPD (235.1 del 19/6/1992) che, all’art. 11: Procedura di certificazione, dispone:

  1. <<Per migliorare la protezione e la sicurezza dei dati, i fornitori di sistemi e di programmi di trattamento dei dati, nonché le persone private o gli organi federali che trattano dati personali possono sottoporre i loro sistemi, le loro procedure e la loro organizzazione a una valutazione da parte di organismi di certificazione riconosciuti e indipendenti>>.
  2. <<Il Consiglio federale emana disposizioni sul riconoscimento delle procedure di certificazione e sull’introduzione di un marchio di qualità inerente alla protezione dei dati. Esso tiene conto del diritto internazionale e delle norme tecniche riconosciute a livello internazionale>>.

Ma è la lettura del Messaggio – concernente la revisione della legge federale sulla protezione dei dati (LPD) e il decreto federale concernente l’adesione della Svizzera al Protocollo aggiuntivo dell’8 novembre 2001 alla Convenzione per la protezione delle persone in relazione all’elaborazione automatica dei dati a carattere personale concernente le autorità di controllo e i flussi internazionali di dati – del 19 febbraio 2003 a fornire utili ed ulteriori specificazioni:

  • 2.10 – Art. 11: Procedura di certificazione
    “(…)
  • Devono essere sviluppate sia procedure di certificazione di processi operativi rilevanti per la protezione di dati o di strutture organizzative (audit in materia di protezione di dati) sia la valutazione di sistemi o programmi informatici – cioè di prodotti – per quanto riguarda l’osservanza di standard in materia di protezione di dati.

Dal che emerge che ciò di cui si sta parlando è una certificazione di prodotti, processi e servizi fondata sulla norma UNI CEI EN ISO/IEC 17065: Valutazione della conformità – Requisiti per organismi che certificano prodotti, processi e servizi.

  • La procedura di valutazione deve portare, una volta stabilito che le norme legali e tecniche del ramo sono osservate, al conferimento di un marchio di qualità inerente alla protezione di dati. Questo riconoscimento può essere utilizzato dalle ditte di certificazione per scopi pubblicitari e portato a conoscenza del pubblico. Le autorità e ditte certificate sono escluse dall’obbligo di notifica della loro raccolta di dati di cui all’articolo 11a, se hanno comunicato il risultato della valutazione all’Incaricato della protezione dei dati. Questo alleggerimento ha lo scopo di incentivare.

Il conseguimento della certificazione consente quindi ampia pubblicità circa l’assicurazione sull’idoneità, correttezza ed adeguatezza delle proprie attività di trattamento e disimpegna le ditte certificate dall’obbligo di notifica.

  • Gli organismi che svolgono questa procedura di certificazione devono essere indipendenti, dal punto di vista soprattutto organizzativo ma anche tecnico, dai privati o dalle autorità da valutare. Il riconoscimento di questi organismi dovrà essere regolato dal Consiglio federale nell’ordinanza. È anche immaginabile che gli organismi di certificazione debbano disporre di un accreditamento.
    Inoltre l’Incaricato deve verificare se le procedure di valutazione e il conferimento del marchio di qualità sono compatibili con il diritto vigente. Egli può intervenire mediante gli strumenti previsti dalla LPD (raccomandazione, proposta alla commissione della protezione dei dati).

Ora, pur considerato che in Svizzera è in elaborazione uno standard per procedure uniformi in materia di certificazioni inerenti alla protezione di dati, può essere utile sapere che esiste già, sul mercato, un meccanismo di certificazione conforme al GDPR, accreditato Accredia, e promosso dalla Commissione europea: l’International Scheme for Data Protection ISDP 10003:2018.

Il ricorso ad un siffatto meccanismo di certificazione che, di per sé, fornisce già una molteplicità di assicurazioni e garanzie, può essere strumento chiarificatore dello stato dell’arte in Svizzera e, forse, valido suggerimento per gli obiettivi che la Confederazione elvetica vuole raggiungere.

Qui, infatti, il riferimento alla certificazione si fonda:

  • sull’art. 11 della Legge federale sulla protezione dei dati,
  • sull’Ordinanza  sulle certificazioni in materia di protezione dei dati (OCPD) che, aggiornato al 1° novembre 2016, richiama le norme UNI EN ISO 9001: Sistemi di gestione per la qualità – Requisiti e UNI CEI ISO/IEC 27001: Tecnologie informatiche – Tecniche per la sicurezza – Sistemi di gestione per la sicurezza delle informazioni – Requisiti ed altre ordinanze.

Inoltre, nel documento riepilogativo circa lo stato della certificazione di prodotti e servizi si legge: “Dalla discussione è emerso che per il mercato svizzero una certificazione di prodotti informatici (hardware, software o sistemi per l’elaborazione automatizzata dei dati) è improponibile per ragioni giuridiche, tecniche e finanziarie. Diversi partecipanti al gruppo di lavoro hanno però chiesto di introdurre una certificazione dei servizi”.

L’art. 5 della suddetta ordinanza (RS 235.13), tuttavia, fa riferimento alla Certificazione dei prodotti e più precisamente alla certificazione dei prodotti destinati in prevalenza al trattamento di dati personali o generanti, al momento del loro impiego, dati personali, in particolare relativi all’utente rilevando l’effettiva mancanza circa la normazione di una certificazione dei servizi.

Orbene, un piccolo richiamo alle norme ISO torna utile.
Nell’alveo delle norme ISO di Valutazione della conformità si riconoscono:

  • la norma ISO 17020:2012: Requisiti per il funzionamento di vari tipi di organismi che eseguono ispezioni;
  • la norma ISO 17021:2012: Requisiti per gli organismi che forniscono audit e certificazione di sistemi di gestione;
  • la norma ISO 17024:2012: Requisiti generali per organismi che eseguono la certificazione delle persone;
  • la norma ISO 17025:2018: Requisiti generali per la competenza dei laboratori di prova e di taratura e
  • la norma ISO 17065:2012: Requisiti per organismi che certificano prodotti, processi e servizi.

È proprio quest’ultima, la ISO 17065, a fare al nostro caso.

La norma in discorso, infatti, non è quella fondante su cui si basano gli organismi per la certificazione di un sistema di gestione aziendale ma è quella di accreditamento degli organismi che certificano processi, prodotti e servizi.
É quella richiamata nel GDPR, il regolamento 679/2016, a cui le imprese svizzere devono adeguarsi in presenza delle considerazioni in premessa; è la norma:

  • per la certificazione dei prodotti di cui all’art. 5 dell’ordinanza di RS 235.13,
  • per la certificazione di processi operativi rilevanti per la protezione di dati (v- § 2.10 – Art. 11: Procedura di certificazione Messaggio del 19/2/2003 di revisione della LPD).

In conclusione:
fatto salvo il rispetto delle leggi della Confederazione elvetica, cantonali nonché, in presenza di presupposti, del Regolamento UE 679/2016:

  • la certificazione di prodotti, processi e servizi, di cui alla normativa richiamata, viene soddisfatta se effettuata da un organismo di certificazione accreditato in conformità alla ISO 17065. A questi presupposti è sicuramente allineato lo schema ISDP 10003 di Inveo Srl.
  • la certificazione di sistemi, procedure e dell’organizzazione dei fornitori e delle persone private, di cui all’art. 11 della LPD, se non soddisfatta come sopra, deve necessariamente avvenire in conformità a una o più norme fondate sulla ISO 17021 ovvero sulla norma di accreditamento degli organismi che forniscono certificazioni di sistemi di gestione.

In questo caso, però,  è utile che le direttive emanate dall’incaricato – sui requisiti minimi che un sistema di gestione della protezione dei dati deve adempiere – non si limitino a richiamare la ISO 9001 e la ISO 27001 estendendosi, per esempio, alla linea guida BS 10012:2017: Data protection – Specification for a personal information management system e alla ISO 27552 dal titolo “Security techniques – Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management –  Requirements and guidelines” che, pur rientrando fra le norme della famiglia ISO 27000 riguardanti la sicurezza delle informazioni sembra estendere il proprio campo di applicazione agli aspetti inerenti la gestione dei dati personali.

Marcello Colaianni
Certified DPO e DP Auditor UNI 11697

Certified DP Auditor ISDP 10003:2018 Scheme
Compliance & Management Systems Consultant

 

La Repubblica di San Marino, il GDPR e la Protezione delle persone fisiche con riguardo al trattamento dei dati personali: considerazioni relative all’istituto della Certificazione.

La Repubblica di San Marino (RSM) non è Stato membro dell’Unione Europea tuttavia il combinato disposto:

  1. ex art. 3/679/2016, § 1: Il presente regolamento si applica al trattamento dei dati personali effettuato nell’ambito delle attività di uno stabilimento da parte di un titolare del trattamento o di un responsabile del trattamento nell’Unione, indipendentemente dal fatto che il trattamento sia effettuato o meno nell’Unione;
  2. ex art. 3/171/2018, comma 1: La presente legge si applica al trattamento interamente o parzialmente automatizzato di dati personali e al trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi, effettuato da chiunque è stabilito nel territorio della Repubblica di San Marino o in un luogo comunque soggetto alla sovranità della Repubblica di San Marino

evidenzia come il Regolamento UE 679/2016 sia del tutto applicabile, ed obbligatorio, anche per le organizzazioni sammarinesi.
Inoltre, la normativa ivi legiferata consente di considerare la RSM un Paese nel quale sono presenti le cosiddette garanzie adeguate di cui all’art. 46/679/2016 ed al Considerando 108 del Regolamento Ue.

Con riferimento alla Certificazione, ex artt. 42 e 43 del GDPR, discende che le relative disposizioni debbano, parimenti, essere prese nella dovuta considerazione.
Ciò premesso, doverosamente, occorre rilevare che l’accreditamento degli Organismi di Certificazione (OdC) richiamati all’art. 44/171/2018 è effettuato, in presenza di presupposti, unicamente dall’Autorità Garante per la protezione dei dati personali della RSM.

Per quanto riguarda l’altro aspetto rilevante, ovvero il fatto che il meccanismo di certificazione debba fondarsi sui requisiti della ISO 17065 piuttosto che della ISO 17021, non ci sono indicazioni specifiche.
Logica vuole che, sulla base delle considerazioni in premessa, le Autorità locali si allineino alle disposizioni del GDPR … e non vedo, personalmente, alternative.

L’art. 43/171/2018, c. 1, infatti, recita: <<Il titolare del trattamento o il responsabile del trattamento possono sottoporre il trattamento effettuato ad un meccanismo di certificazione della protezione dei dati, nonché di sigilli e marchi di protezione dei dati allo scopo di dimostrare la conformità alla presente legge dei trattamenti effettuati dai medesimi titolari e responsabili del trattamento>>.
Identica disposizione di quanto all’art. 42/679/2016, § 1, per la parte di nostro interesse: <<Gli Stati membri, le autorità di controllo, il comitato e la Commissione incoraggiano, in particolare a livello di Unione, l’istituzione di meccanismi di certificazione della protezione dei dati nonché di sigilli e marchi di protezione dei dati allo scopo di dimostrare la conformità al presente regolamento dei trattamenti effettuati dai titolari del trattamento e dai responsabili del trattamento>>.

Da quanto sopra si rileva, ancora una volta, come la valutazione di conformità di un meccanismo di certificazione della protezione dei dati, nonché di sigilli e marchi di protezione dei dati trovi soddisfazione nella norma UNI CEI EN ISO/IEC 17065 che riguarda, compiutamente, i Requisiti per organismi che certificano prodotti, processi e servizi e non nella norma UNI CEI EN ISO/IEC 17021 che, diversamente, riguarda i Requisiti per gli organismi che forniscono certificazione di sistemi di gestione.

A questo punto manca un solo tassello.
La garanzia che gli Organismi di certificazione operino nel rispetto dei requisiti della ISO 17065 è data dall’accreditamento degli stessi da parte dell’Ente nazionale di accreditamento, in Italia, Accredia.
In assenza di un ente di accreditamento nella Repubblica di San Marino trovo estremamente utile ed oltremodo ragionevole prevedere, al comma 2 dell’art. 44/171/2018, anche il requisito dell’accreditamento degli OdC, per altro inclusivo di quanto alle lettere da a) a d), in conformità della norma UNI CEI EN ISO/IEC 17065.

Così facendo, insieme ad un ulteriore allineamento ed uniformità con il Regolamento UE 679/2016, tutte le organizzazioni della Repubblica di San Marino potrebbero facilmente identificare, fra gli altri, lo schema ISDP 10003:2018 certificato Accredia come lo strumento più idoneo a dimostrare la conformità dei trattamenti effettuati dai titolari e responsabili del trattamento così come previsto dalla Legge 21 Dicembre 2018 n.171.

Marcello Colaianni
Certified DPO e DP Auditor UNI 11697
Certified DP Auditor ISDP 10003:2018 Scheme
Compliance & Management Systems Consultant

COMPLIANCE & ENTERPRISE MANAGEMENT SYSTEMS

Da tempo, sempre più, ci accorgiamo di quanto la normativa cogente si trovi affiancata da norme volontarie che trattano, da un punto di vista sistemico, la materia.

E’ il caso, per esempio:

  1. dell’Anticorruzione che, disciplinata nell’ambito del D. Lgs. 231/01, dalla L. 190/2012, dal D. Lgs. 38/2017 e dalla L. 3/2019, è normata dallo standard UNI ISO 37001:2016;
  2. della Sicurezza sul lavoro con il D. Lgs. 81/08, da una parte, e la UNI ISO 45001, già OHSAS 18001, dall’altra;
  3. della Responsabilità Sociale, a cui fanno riferimento Leggi di stabilità e di bilancio nonché la SA8000, la UNI ISO 26000 e vari modelli di rendicontazione quali Q-RES e AA1000;
  4. dell’Igiene del prodotto alimentare di cui al Decreto Legislativo 193/07 e UNI EN ISO 22000:2018;
  5. della normativa Ambientale che vede il D. Lgs. 152/2006 a livello cogente e la UNI EN ISO 14001 e EMAS a livello volontario.

Ovviamente non si tratta di alternative; la normativa cogente va debitamente osservata dalle Organizzazioni e costituisce requisito preliminare nell’implementazione di un qualsiasi sistema di gestione aziendale.

La decisione di adottare uno standard di riferimento quale adeguamento volontario a requisiti di sistema porta tanti vantaggi in più:

  1. una linea guida nell’applicazione delle leggi;
  2. la diffusione di una cultura dentro e fuori l’organizzazione;
  3. un biglietto da visita che enfatizza la propria sensibilità nello specifico argomento all’insegna delle esigenze ed aspettative dei propri stakeholders;
  4. una visibilità a livello internazionale;
  5. un più facile accesso alla partecipazione ai bandi di gara.

Da qui, la consapevolezza di questa esigenza; un’esigenza di mercato, del lavoro e della concorrenza, soddisfatta dall’opportunità di coniugare normativa cogente e volontaria all’unisono secondo un approccio evolutivo e insieme innovativo.

Marcello Colaianni
Compliance & Management Systems Consultant / Auditor
Certified DPO e Privacy Auditor UNI11697
Certified DP Auditor ISDP 10003:2018 Scheme

 

 

Il DPO è un AUDITOR!

L’art. 39 ci ricorda quali sono i compiti primari del DPO.

Fra questi, quello dell’Auditor, ovvero il compito di sorvegliare l’osservanza del regolamento, di altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo è sicuramente l’attività che in maggior misura impegna il DPO.

Egli esamina il trattamento di dati personali, valutando il rispetto di leggi e regolamenti applicabili e approva le misure necessarie a eliminare eventuali non-conformità rilevate, mantenendo una posizione indipendente da chi svolge attività manageriali e operative.

Per quanto sopra si evince che la conoscenza della normativa e la capacità di darle la più appropriata interpretazione nella sua applicazione in seno a ciascun Titolare/Responsabile è una prerogativa … che da sola, però, si rivela incompleta.

Essere un auditor significa avere, prima di tutto, specifiche competenze circa le modalità di conduzione degli audit.

Considerato il riferimento ai meccanismi di certificazione ex articoli 42 e 43 del GDPR, il ricorso a norme ISO internazionalmente validate, come la UNI EN ISO 19011 o la UNI EN ISO 17021-1 o la UNI ISO 31000, è logico, conseguenziale ed oltremodo coerente alla citata norma EN-ISO/IEC 17065/2012 a cui devono fare obbligatoriamente riferimento gli organismi di certificazione.

Nella fattispecie lo schema ISDP10003:2018, accreditato ACCREDIA e nominativamente richiamato in alcuni bandi di gara, fornisce chiare indicazioni proprio in merito a politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo …
… Attività di controllo per le quali l’Auditor può avvalersi di specialisti, ovvero dei cosiddetti esperti tecnici in ambito informatico, tecnologico, giuridico o organizzativo nella conduzione degli audit.

Il ricorso alle ulteriori professionalità cui può accedere il DPO, come previsto all’art. 38, va tuttavia circoscritto.
È poco professionale che il DPO si avvali di terzi soggetti quando interloquisce direttamente con il Titolare nell’esplicitazione dei punti della norma; è utile che ne sia adeguatamente e personalmente edotto.
Parimenti dicasi in ipotesi di delega delle attività di formazione e consulenza.
E ancora, laddove venga consultato nella Valutazione dei rischi o d’impatto, ricorrere ad altri ne sminuisce sia la figura sia il ruolo.

Ne consegue che il DPO debba essere personalmente autosufficiente almeno con riferimento alla normativa relativa alla protezione dei dati e agli aspetti di risk management su cui si basa la Valutazione dei rischi così come quella d’Impatto.
Attendersi questo quale requisito implicito dal Titolare del trattamento è assolutamente ragionevole.

È vero, il DPO non è un tuttologo né può esserlo ed allora trova giustificazione, per esempio, il ricorso agli esperti di cyber security.

Quello che è certo, dato anche il suo posizionamento in organigramma, sono le relazioni che pone quotidianamente in essere con le altre funzioni aziendali, oltre che con gli interessati e l’autorità di controllo.
Il suo contributo, fra l’altro, nell’assegnazione o verifica delle responsabilità e competenze al personale gli attribuiscono capacità di osservazione, sensibilità e discernimento.

Si comprende allora l’importanza di quelle abilità volte ad esaltarne gli effetti.
Abilità come la capacità di lavorare in gruppo, di analisi e di sintesi nonché l’assunzione di comportamenti idonei come l’essere di mentalità aperta e flessibile, diplomatici ed insieme tenaci e perseveranti, collaborativi ed in grado di agire con fermezza, sicuri di sé e aperti al miglioramento.

Marcello Colaianni
Certified DPO UNI11697
Valutatore Privacy certificato UNI11697
Certified DP Auditor ISDP10003:2018 scheme

DATA PROTECTION e INFORMATION SECURITY: binomio indissolubile per il payroll management

La relazione fra i due contesti, e le norme che li disciplinano, assume connotazioni differenti a seconda dell’oggetto sociale dell’organizzazione.

Sicuramente, i settori merceologici più coinvolti nella gestione combinata di sicurezza delle informazioni e protezione dei dati sono quelli propri delle aziende ICT (società di HW, SW, Telecommunications, Hosting, Web provider, ecc.), del settore sanitario e della salute e quello finanziario.

Ciò premesso, tuttavia, un ambiente estremamente critico e significativo è quello relativo ai processi di gestione delle paghe. Dal punto di vista della protezione dei dati, fra l’altro, per il trattamento di dati particolari  e, all’occorrenza, di quelli penali. Per quanto alla sicurezza delle informazioni anche per l’evidente ed imponente  utilizzo dei sistemi informativi.

In questo contesto, non deve ingannare il fatto che la data protection sia disciplinata da norme di legge mentre la information security da norme di sistema. Entrambi, infatti, mantengono estremamente elevato il loro valore strategico e sostanziale specialmente in siffatti settori merceologici.

È fondamentale che le organizzazioni che affidano in outsourcing i suddetti servizi prestino la dovuta attenzione affinché non si verifichino violazioni di sorta anche per un incauto trattamento da parte delle società appaltatrici.

Cosa fare, allora, in sede di qualificazione/riqualificazione dei propri fornitori?
Le azioni utili da intraprendere si sviluppano secondo due direttrici.

La prima consiste nell’acquisire evidenze oggettive volte a dimostrare l’adeguamento alla normativa  di riferimento:

  • Relativamente agli aspetti della Data Protection si ricorda l’esistenza di due schemi pro GDPR riconducibili al DPMS 44001 ed all’ISDP 10003;
  • Per quanto alla sicurezza delle informazioni suggerisco, nel caso di specie, la certificazione secondo la norma UNI CEI EN ISO/IEC 27001 e, eventualmente, alla UNI EN ISO 22301:2014: “Sicurezza della società – Sistemi di gestione della continuità operativa – Requisiti”, con evidenza dell’adeguamento, anche attraverso richiesta dello statement of applicability, ad una o più delle seguenti norme:
    ISO/IEC 20000-1 riguardante i requisiti per un sistema di gestione del servizio;
    ISO/IEC 27010 per la gestione della sicurezza delle informazioni per le comunicazioni intersettoriali e interorganizzative
    ISO/IEC 27018 per la protezione delle informazioni di identificazione personale (PII) in cloud pubblici che agiscono come processori PII;

La seconda direttrice contempla, in aggiunta, la pianificazione di audit di 2a parte; ovvero ispezioni presso il fornitore per verificare, in loco, l’adeguatezza dei processi aziendali attraverso auditor propri o esterni.

A dimostrare le interrelazioni che si pongono fra sicurezza delle informazioni e protezione dei dati e la particolare attenzione richiesta per tali processi è, inoltre, il requisito che la norma UNI CEI EN ISO/IEC 27001 prevede all’obiettivo A.18.1.4, dell’allegato A, che dispone: <<Si devono assicurare la privacy e la protezione dei dati personali,  come richiesto dalla legislazione e dai regolamenti pertinenti, per quanto applicabile>>.

Il requisito  in discorso è inserito in una norma di sistema ma fa riferimento ad una norma di legge, in particolare al combinato disposto di cui al Regolamento UE 679/2016 ed al novellato D. Lgs. 196/03. Il rispetto della normativa sulla data protection è, quindi, un aspetto che va puntualmente controllato e sottoposto al processo di valutazione dei rischi ex ISO 27001. Il livello di rischio determinatosi, suggerirà l’opportunità di:

  • integrare il sistema per le parti mancanti ed applicabili all’organizzazione;
  • continuare o interrompere la conduzione dell’audit di 3a parte. Ciò a discrezione del gruppo di audit, ovvero dell’Organismo di certificazione;
  • qualificare, riqualificare o revocare la qualificazione, in ipotesi di audit di 2a parte, a cura del cliente.

Le suddette considerazioni, infine, lasciano ben immaginare quanto un’appropriata strutturazione di competenze, ruoli e responsabilità sia essenziale, anzi, determinante.
Il DPO, in questa sede, è la figura ideale anche per coniugare e monitorare sull’applicazione delle due normative, e quanto ad esse correlate, all’insegna di un organizzato ed integrato modello di riferimento nonché dei comuni principi di:

  • Liceità, Correttezza e Trasparenza;
  • Riservatezza, Integrità, Disponibilità;
  • Esattezza e Responsabilizzazione.

Marcello Colaianni
Compliance & Management Systems Consultant/Auditor
Privacy Consultant, DP Auditor e DPO UNI11697 Certified
UNI CEI EN ISO/IEC 27001 Qualified Auditor                    

GDPR e WHISTLEBLOWING

Il Whistleblowing, ovvero la disciplina della segnalazione da parte del dipendente, trova il suo definitivo riconoscimento con l’entrata in vigore della L. 30 novembre 2017, n. 179 Disposizioni per la tutela degli autori di segnalazioni di reati o irregolarità di cui siano venuti a conoscenza nell’ambito di un rapporto di lavoro pubblico o privato.

In ambito pubblico, il suddetto istituto era già noto grazie al D.P.R. 16 aprile 2013, n. 62 Regolamento recante codice di comportamento dei dipendenti pubblici, a norma dell’articolo 54 del decreto legislativo 30 marzo 2001, n. 165 dove l’art. 8 recita: Il dipendente (…) fermo restando l’obbligo di  denuncia all’autorità giudiziaria, segnala al proprio superiore gerarchico eventuali situazioni di  illecito  nell’amministrazione  di  cui  sia venuto a conoscenza”.

In ambito privato la sua applicazione viene specificatamente circoscritta al D. Lgs. 231/01 con l’inserimento degli articoli 2-bis, 2-ter e 2-quater. La determinazione del perimetro del whistleblowing in seno alla Disciplina della responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica lascia ben intendere, in realtà, il notevole livello di estensione della validità di questo istituto.

Ai nostri fini, l’argomento coinvolge sicuramente la materia della “Privacy” giacché l’art. 24-bis del D. Lgs. 231/01 contempla i Delitti informatici e trattamento illecito di dati e più precisamente i reati di:

  • Falsità in un documento informatico pubblico o avente valore probatorio (art. 491-bis c.p.);
  • Accesso abusivo ad un sistema informatico e telematico (art. 615-ter c.p.);
  • Detenzione e diffusione abusiva di codici di accesso a sistemi informatici e telematici (art. 615-quater);
  • Diffusione di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico (art. 615-quinquies c.p.);
  • Intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche (art. 617-quater c.p.);
  • Installazione di apparecchiature atte ad intercettare, impedire o interrompere comunicazioni informatiche o telematiche (art. 617-quinquies c.p.);

a cui si aggiungono quelli di cui alla Parte III^ Tutela dell’interessato e sanzioni, Titolo III Sanzioni, Capo II Illeciti penali che, alla luce dello Schema di decreto legislativo recante disposizioni per l’adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679, sono:

  • Trattamento illecito di dati;
  • Falsità nelle dichiarazioni al Garante;
  • Altre fattispecie e
  • Pene accessorie

Per quanto sopra, si può quindi affermare che il D. Lgs. 231/01 si pone come elemento di congiunzione fra la Privacy, nei termini considerati, ed il whistleblowing. E questo vale per tutti coloro che, a vario titolo, vi si adeguano.

A questo punto la domanda sorge spontanea: I soggetti estranei all’obbligo di osservanza del D. Lgs. 231/01 sono comunque tenuti, ai fini della normativa vigente in materia di Data Protection, a prendere in debita considerazione tale istituto e, quindi, anche la predisposizione di idonee procedure di segnalazione?

Evidentemente no! Manca infatti la base giuridica che imponga un siffatto comportamento.

In termini volontaristici, naturalmente, è tutta un’altra cosa!

Sebbene, in questo caso, l’obiettivo sia quello di tutelare direttamente l’Interessato nel trattamento dei suoi dati personali gli effetti che ne derivano sono comunque utili al Titolare, ovvero al Responsabile del trattamento.

L’adozione volontaria di procedure di segnalazione contro il rischio di commissione di reati o irregolarità in materia di Privacy sono del tutto coerenti con il dettato di cui al Reg. UE 679/2016 nonché di quello che rimane del D. Lgs. 196 e di quello che verrà:

  1. perché il trattamento illecito dei dati è contrario al primo dei principi del GDPR;
  2. perché l’adozione di procedure di whistleblowing rientra sicuramente fra le misure tecniche e organizzative che il titolare deve adottare;
  3. perché tali comportamenti precauzionali possono concorrere a calmierare l’importo della sanzione pecuniaria;

e ancora:

  1. perché evita l’incorrere del rischio reclusione;
  2. perché estremamente pertinente nell’ipotesi di implementazione di un sistema di gestione della protezione dei dati personali;
  3. perché valido strumento contro il rischio reputazionale.

Non solo. Laddove il Titolare lungimirante intenda tener conto del whistleblowing un utile e valido  riferimento su come comportarsi è adeguarsi alle indicazioni del decreto 231 ovvero  degli articoli:

<<2-bis che prevede:

  1. uno o piu’ canali che consentano ai soggetti indicati nell’articolo 5, comma 1, lettere a) e b), di presentare, a tutela dell’integrità dell’ente, segnalazioni circostanziate di condotte illecite, rilevanti ai sensi del presente decreto (231) e fondate su elementi di fatto precisi e concordanti, o di violazioni del modello di organizzazione e gestione dell’ente, di cui siano venuti a conoscenza in ragione delle funzioni svolte; tali canali garantiscono la riservatezza dell’identità del segnalante nelle attivita’ di gestione della segnalazione;
  2. almeno un canale alternativo di segnalazione idoneo a garantire, con modalità informatiche, la riservatezza dell’identità del segnalante;
  3. il divieto di atti di ritorsione o discriminatori, diretti o indiretti, nei confronti del segnalante per motivi collegati, direttamente o indirettamente, alla segnalazione
  4. nel sistema disciplinare adottato ai sensi del comma 2, lettera e), sanzioni nei confronti di chi viola le misure di tutela del segnalante, nonché di chi effettua con dolo o colpa grave segnalazioni che si rivelano infondate.

2-ter che dispone: 

L’adozione di misure discriminatorie nei confronti dei soggetti che effettuano le segnalazioni di cui al comma 2-bis puo’ essere denunciata all’Ispettorato nazionale del lavoro, per i provvedimenti di propria competenza, oltre che dal segnalante, anche dall’organizzazione sindacale indicata dal medesimo.

2-quater per cui è stabilito che:

Il licenziamento ritorsivo o discriminatorio del soggetto segnalante è nullo. Sono altresì nulli il mutamento di mansioni ai sensi dell’articolo 2103 del codice civile, nonché qualsiasi altra misura ritorsiva o discriminatoria adottata nei confronti del segnalante. È onere del datore di lavoro, in caso di controversie legate all’irrogazione di sanzioni disciplinari, o a demansionamenti, licenziamenti, trasferimenti, o sottoposizione del segnalante ad altra misura organizzativa avente effetti negativi, diretti o indiretti, sulle condizioni di lavoro, successivi alla presentazione della segnalazione, dimostrare che tali misure sono fondate su ragioni estranee alla segnalazione stessa>>.

Ad assicurarsi circa il rispetto delle regole, se in ambito 231 spetta all’OdV, in questa sede spetta sicuramente al DPO nell’alveo dei suoi compiti istituzionali. In mancanza, è oltremodo opportuno il ricorso a un DP Auditor.

Marcello Colaianni
Compliance & Management Systems Consultant/Auditor
Privacy Consultant & DP Auditor Certified

 

Il GDPR e i meccanismi di certificazione

In Italia, esistono Standard proprietari conformi al GDPR ma, a onor del vero, un unico meccanismo di certificazione valido in tutta la UE é ancora là da essere riconosciuto come universalmente validato.

A riguardo, durante la partecipazione ad alcuni convegni sento dire quanto sia controproducente, da parte delle Organizzazioni,  l’adozione di un siffatto meccanismo.

Rimango basito!

Innanzitutto, ricordiamo tutti che “gli Stati membri, le autorità di controllo, il comitato e la Commissione incoraggiano, in particolare a livello di Unione, l’istituzione di meccanismi di certificazione della protezione dei dati” …
… e questo vorrà dire qualcosa, no?   

In secondo luogo è fondamentale sapere che, sebbene l’istituzione del meccanismo di certificazione sia facoltativa, l’adeguata implementazione e idonea applicazione di un sistema di gestione per la protezione dei dati è uno dei fattori presi in considerazione per calmierare l’entità delle sanzioni amministrative, qualora comminate.

È vero! Una volta che s’intraprende questo cammino virtuoso … non si può più tornare indietro, pena il rischio di:

  1. vedersi revocata la certificazione,
  2. vedere comunicata la revoca della certificazione all’autorità di controllo
  3. ritrovarsi ancor più vulnerabili di fronte alle eventuali ispezioni circa l’applicazione del Regolamento.

Ma mi chiedo:

  • qualunque Sistema di gestione aziendale, e quindi anche il DPMS (Data Protection Management System), non ha come mission quello di sollecitare l’organizzazione a dare sempre il meglio di sé?
  • Perché temere il peggio  se l’Organizzazione si struttura adeguatamente in modo da garantire la propria compliance a tutte le norme di legge … e di sistema?
  • Perché soffermarsi e vedere il bicchiere mezzo vuoto invece di cogliere un’opportunità per dare ancor più valore all’immagine, alla propria reputazione ed alle proprie risorse umane?

Un’altra riflessione è doverosa, in questa sede.

L’Organizzazione che voglia assumere in toto la paternità della propria compliance al GDPR può, in alternativa, ricorrere alla linea guida UNI ISO 19600:2016 – Sistemi di gestione della conformità (compliance) – Linee guida quale utile e validato riferimento ed evidenza oggettiva circa l’adeguamento al Regolamento. Certo, non si può parlare di certificazione bensì di attestazione … ed è sempre un primo passo, no?

In conclusione:

  1. ben venga qualunque evidenza volta a dimostrare l’osservanza e l’adeguatezza al GDPR;
  2. ben venga l’adozione di meccanismi di certificazione e di codici di condotta che possono calmierare l’entità di eventuali sanzioni;
  3. ben venga, più di ogni altra cosa, l’istituzione di un modello organizzativo che, oltre a dare evidenza della propria conformità ai requisiti, costituisca quel corpus di istruzioni che dettano i più appropriati comportamenti in grado di rassicurare i propri clienti ed interessati e di esaltare le proprie risorse, l’identità aziendale e chi, della tua Organizzazione, è parte attiva.

Marcello Colaianni
DPO e Privacy Consultant KHC Certified n. 2108
Data Protection Auditor KHC Certified n. 2121

Il RTDP aziendale, questo sconosciuto!

Con l’entrata in vigore del GDPR nasce una corrente di pensiero secondo cui, ancora non ho capito su che base, il RTDP aziendale non s’ha più da nominare.

Forse perché l’art. 28/679/2016, con riguardo alla sua nomina fa riferimento alla stipulazione di un contratto e, quindi, a qualunque altro atto giuridico? … e che per questo motivo suona male stipulare un contratto ad hoc nei confronti di un dipendente?
[A riguardo invito alla lettura del mio articolo: Il RTDP ed il DPO quali figure interne all’Azienda in adempimento al Reg. UE 679/2016 con riguardo al trattamento dei dati personali].

C’è, sembrerebbe, la naturale propensione a pensare, per il RTDP, esclusivamente ad un professionista esterno o ad una società di consulenza esterna, rispetto al TTDP (Titolare del Trattamento dei Dati Personali).

Se però pensiamo a tutte quelle organizzazioni che, indipendentemente dal ricorso ad un consulente, decidono di strutturarsi adeguatamente, è del tutto ragionevole che al proprio interno nominino uno o più RTDP (persone fisiche).

D’altra parte occorre ricordare che l’art. 4 definisce Responsabile del Trattamento dei Dati Personali (RTDP) la persona fisica (o giuridica, l’autorità pubblica, il servizio o altro organismo) che tratta dati personali per conto del titolare del trattamento e mi viene strano credere che, diversamente, la materia della protezione dei dati personali venga gestita e monitorata direttamente dal Rappresentante legale della società (di capitali) in tutt’altre faccende affaccendato.

Nei suddetti termini, allora, si scopre che la nomina del RTDP diventa necessaria e non più facoltativa, quanto meno per alleggerire le incombenze al TTDP.
Nomina, fra l’altro, ben più versatile di quella del RPD/DPO per la quale – a parità di altri presupposti – occorre dare idonee garanzie riguardo al rischio di possibili conflitti d’interesse.

Marcello Colaianni
DPO e Privacy Consultant KHC Certified n. 2108
Data Protection Auditor KHC Certified n. 2121

 

Normativa volontaria e normativa cogente: quali priorità, quali relazioni.

I Sistemi di Gestione Aziendale certificati sono ormai una realtà consolidata e diffusa fra le multinazionali così come fra le PMI e le microimprese.

Sono uno strumento che comunica, o dovrebbe comunicare, quanto l’Organizzazione è allineata, crede e promuove i propri processi all’insegna del miglioramento continuo (ISO 9001), della propria sensibilità all’ambiente (ISO 14001) o alla sicurezza sul lavoro (OHSAS 18001), per fare qualche esempio, ponendo l’attenzione nei confronti dei suoi molteplici interlocutori e parti interessate.

L’implementazione di questi sistemi, è noto, nasce volontaria e diventa obbligatoria nel momento in cui l’Organizzazione decide di adeguarvisi. Nasce, paradossalmente, obbligatoria quando la certificazione di questo o quel sistema di gestione aziendale è richiesta per la partecipazione a bandi e gare d’appalto.

Ma qual è, prima di ogni altra cosa, l’utilità di un sistema di gestione aziendale certificato?
È quella di differenziarsi sul mercato, di comunicare al mondo di essere migliore dei propri competitor, di dare evidenza che l’Organizzazione oltre a rispettare i requisiti di legge va oltre impegnandosi in iniziative di sviluppo sostenibile e in comportamenti sempre più virtuosi.

Alcune norme di sistema, al proprio interno, prevedono puntualmente l’osservanza ai requisiti di legge e, quindi, il soddisfacimento preliminare del dettato legislativo, pena l’impossibilità per l’impresa di conseguire la relativa certificazione.

Lo dice l’ISO 14001 stabilendo che le prescrizioni legali che riguardano gli aspetti ambientali dell’Organizzazione sono tenute in considerazione, ovvero osservate, nello stabilire, attuare e mantenere attivo il proprio sistema di gestione ambientale.
In altre parole, per prima cosa l’Organizzazione si adegua, per quanto applicabile, alle “Norme in materia ambientale” ex D. Lgs. 152/2006 e smi e leggi collegate, quindi, si attiva ad osservanza di quanto previsto dalla norma di sistema di gestione ambientale UNI EN ISO 14001 per propri fini certificativi.

Nella OHSAS 18001, allo stesso modo, è scritto che “L’organizzazione deve stabilire, attuare e mantenere attiva una procedura/e per identificare e accedere ai requisiti per la S&SL di legge e di altro tipo ad essa applicabili … e dovrà assicurare che tali requisiti di legge e di altro tipo, che essa sottoscrive, siano tenuti in conto per la istituzione, applicazione e mantenimento in attività del sistema di gestione della S&SL”.
Ciò significa che l’azienda, innanzitutto, dovrà attenersi, per quanto applicabile, al dettato normativo ex D. Lgs. 81/08 e smi e leggi collegate in materia di sicurezza sul lavoro e, solo in un secondo momento, preoccuparsi di allinearsi ai requisiti della norma OHSAS 18001.

Si può quindi affermare senza indugio che l’osservanza della legislazione nazionale sia prioritaria e preliminare a qualunque altro ed ulteriore adempimento previsto dalla specifica normativa di sistema.

E per la Qualità ISO 9001?
La norma UNI EN ISO 9001 specifica i requisiti di un sistema di gestione per la qualità quando un’organizzazione:

  1. ha l’esigenza di dimostrare la propria capacità di fornire con regolarità prodotti o servizi che soddisfano i requisiti del cliente e i requisiti cogenti applicabili; e
  2. mira ad accrescere la soddisfazione del cliente tramite l’applicazione efficace del sistema, compresi i processi per migliorare il sistema stesso e assicurare la conformità ai requisiti del cliente e ai requisiti cogenti applicabili.

E ribadisce che: “fra i benefici potenziali per un’organizzazione, derivanti dall’attuazione di un sistema di gestione per la qualità basato sulla presente norma internazionale, c’è la capacità di fornire con regolarità prodotti e servizi che soddisfino i requisiti del cliente e quelli cogenti applicabili”.

Ora, assunto che per requisiti cogenti applicabili si intendono <<i requisiti specificati da un organismo avente potere legislativo ovvero specificati da un’autorità incaricata da un organismo avente potere legislativo>>, ne consegue che in questo caso non interessa più l’obiettivo a cui l’Organizzazione vuole riferirsi, la Certificazione ambientale piuttosto che la Certificazione sulla Sicurezza sul lavoro.

L’attenzione si sposta pesantemente su (tutti) i requisiti cogenti applicabili all’Organizzazione:

  • nella fornitura di prodotti,
  • nella fornitura di servizi.

E questa é una riflessione di grande rilevanza perché legittima gli Auditor per la qualità, in sede di audit di 2a e 3a parte in particolar modo,  ad estendere il loro piano di audit e verificare il livello di osservanza dei requisiti di legge e regolamentari in relazione al settore merceologico in cui opera l’organizzazione oggetto dell’audit.

Esemplificando, anche in forza dei concetti di “Ambiente di lavoro” e di “Dati personali” richiamati dalla 9001, nell’azienda edile, meccanica o siderurgica, per esempio, l’attenzione degli auditor si orienterà prevalentemente sugli aspetti riguardanti la sicurezza sul lavoro essendo strettamente connessi alla fornitura di prodotti.
Allo stesso modo, nelle imprese operanti nei settori delle telecomunicazioni e dell’information technology, il gruppo di audit sarà più sensibilizzato a verificare il grado di applicazione ed osservanza della legislazione vigente in materia di protezione dei dati personali, con riferimento al D. Lgs. 196/2003 e smi, oggi, ed al Reg. Ue 679/2016, dal 25 maggio 2018, essendo, questa, strettamente connessa alla fornitura di servizi.
E l’organizzazione che si occupa di bonifiche ambientali o di trattamento rifiuti sarà inevitabilmente auditata anche per gli aspetti correlati ai requisiti di legge ambientali perché questi sono significativamente impattanti per la fornitura dei suoi servizi.

Ciò premesso, in sede di audit per la qualità, al di là di qualunque mio pensiero e convincimento, c’è da chiedersi se la non conformità di un requisito di legge o regolamentare rilevata sia da considerarsi tale da:

  • impedire il conseguimento della certificazione;
  • interrompere il processo di certificazione;
  • revocare la certificazione;
  • riconsiderare la qualificazione del fornitore

ciò, sebbene ci si trovi fuori dal contesto di una ISO 14001, di una OHSAS 18001, di una ISO 27001 o di un Data Protection Management System.

                                 Marcello Colaianni
Business Coach – Mentor – Compliance Consultant

 

 

 

 

Il Responsabile della Protezione dei Dati, il Privacy Officer e le altre figure del GDPR

A quasi un anno dalla piena applicazione del GDPR le Organizzazioni si stanno attivando per adeguarsi al Reg. UE 679/2016 che costituirà la normativa di riferimento per antonomasia con riguardo alla protezione dei dati personali e per raggiungere questo obbiettivo investono e si avvalgono di persone qualificate.

Si riconoscono vecchie e nuove figure chiamate, a vario titolo, in affiancamento all’azienda in adeguamento ai nuovi requisiti.

Si ricordano, in particolare:

il Titolare del Trattamento dei Dati Personali (TTDP): la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri;

il Responsabile del Trattamento dei dati personali (RTDP): la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento;

ai quali si aggiungono:

il Rappresentante (del TTDP/RTDP): la persona fisica o giuridica stabilita nell’Unione che, designata dal titolare del trattamento o dal responsabile del trattamento per iscritto ai sensi dell’articolo 27, li rappresenta per quanto riguarda gli obblighi rispettivi a norma del presente regolamento; la persona fisica o giuridica stabilita nell’Unione che, designata dal titolare del trattamento o dal responsabile del trattamento per iscritto ai sensi dell’articolo 27, li rappresenta per quanto riguarda gli obblighi rispettivi a norma del presente regolamento;

i Destinatari: la persona fisica o giuridica, l’autorità pubblica, il servizio o un altro organismo che riceve comunicazione di dati personali, che si tratti o meno di terzi. Tuttavia, le autorità pubbliche che possono ricevere comunicazione di dati personali nell’ambito di una specifica indagine conformemente al diritto dell’Unione o degli Stati 4.5.2016 L 119/33 Gazzetta ufficiale dell’Unione europea IT membri non sono considerate destinatari; il trattamento di tali dati da parte di dette autorità pubbliche è conforme alle norme applicabili in materia di protezione dei dati secondo le finalità del trattamento;

i Terzi: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che non sia l’interessato, il titolare del trattamento, il responsabile del trattamento e le persone autorizzate al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile;

e ancora

gli Interessati: la persona fisica cui si riferiscono i dati personali:

gli Incaricati, annoverabili fra i soggetti terzi di cui sopra;

a cui si aggiunge il Responsabile della protezione dei Dati (RPD / DPO), disciplinato agli artt. 37 a 39.

Si ricorda anche la figura, ormai consolidata, dell’Amministratore di sistema, sebbene abrogata dall’art. 183 comma 1, lettera o), del D. Lgs. 196/03 nonché quelle previste dalla norma UNI, prossima alla pubblicazione:

il Manager Privacy “di taglio squisitamente manageriale, ricopre tutti gli incarichi tipicamente svolti da un RTDP”;

lo Specialista privacy che, “alle dirette dipendenze del Manager Privacy, lo supporta nel mettere a punto gli strumenti necessari a trattare i dati personali”;

il DPO, nominativamente disciplinato dalla normativa in discorso ed

il DP Auditor che, avendo le competenze per monitorare circa la regolare l’applicazione del Regolamento, può identificarsi anche nello stesso DPO rientrando, la sorveglianza dell’osservanza dei requisiti del GDPR, fra i suoi compiti.

Il suddetto elenco, naturalmente, non disconosce ulteriori figure professionali assunte nelle aziende come quelle del Privacy Consultant, del Privacy Officer o del Chief Privacy Officer (CPO) pure coinvolte nell’applicazione della normativa in materia di Data Protection. L’importante, ci ricorda il WP29, é sapere che:

“è fondamentale garantire che non vi siano ambiguità in termini di denominazione, status e compiti di queste figure; è dunque essenziale che in tutte le comunicazioni interne all’azienda e anche in quelle esterne (con l’autorità di controllo, gli interessati, i soggetti esterni in genere), queste figure o consulenti non siano indicati con la denominazione di responsabile per la protezione dei dati (RPD)”.

                          Marcello Colaianni
DPO e Privacy Consultant KHC Certified n. 2108
Data Protection Auditor KHC Certified n. 2121