iI CONSULENTE prima del RECRUITING: come prepararsi alla gestione delle risorse umane

L’Organizzazione che cerca la persona giusta per uno specifico ruolo ha, ragionevolmente, le idee chiare sulla risorsa di cui ha bisogno in termini di conoscenze, competenze e abilità.

Altre volte, però, può rivelarsi utile, in attesa di inserire in azienda le più idonee professionalità, ricorrere al Consulente … il che non vuole essere un’alternativa.
I vantaggi che ne derivano possono superare le aspettative e, persino, rivelare all’Organizzazione che quel che cerca è già lì, nella sua struttura.

Cosa intendo dire?

Mi è capitato di assistere un’azienda in cui occorreva affiancare alla vecchia guardia nuove risorse che portassero innovazione, creatività ed un approccio trasversale al problem solving.
Così facendo si è scoperta, da una parte, l’inaspettata disponibilità e flessibilità, di alcuni, a riconvertirsi in nuovi ruoli e posizioni, dall’altra, un rinnovato orgoglio di appartenenza, un miglioramento del clima aziendale e nuove forme di business development.

Altrove, si presentava la necessità di riorganizzare le funzioni di staff allo scopo di evitare inutili sovrapposizioni e, insieme, di assicurarsi circa l’applicazione dei requisiti di cui alla normativa, cogente e volontaria, di riferimento per l’Organizzazione.
L’analisi delle risorse, dei loro curricula e dei loro desiderata, ha permesso di coniugare sapientemente le esigenze aziendali con gli obiettivi personali all’insegna di una nuova politica di valutazione, valorizzazione e formazione del personale.
La parte legal è stata fortemente coinvolta con l’introduzione della funzione Compliance e del Management Systems Department. La funzione Auditing ha esteso il proprio campo di azione. I ruoli ispettivi, come quello del DPO, sono stati internalizzati lasciando interamente a professionalità esterne la composizione dell’OdV. Anche la Comunicazione interna ha preso in carico la gestione di un nuovo house horgan con la pubblicazione della vita, in azienda, della casa madre e delle sue filiali.
A questa rivoluzione copernicana hanno concorso anche le nuove leve.
Il mio contributo è stato quello di Consulente piuttosto che di Business Coach a seconda dei momenti ed esigenze che andavano presentandosi … e non è finita qui.

In altre due situazioni, proprio in previsione di selezionare risorse adeguate, ho ricoperto il ruolo di Temporary manager, dapprima con il compito di sovrintendere, anche operativamente, ai compiti del Servizio di Prevenzione e Protezione e come referente per il Sistema integrato QSA (Qualità, Sicurezza e Ambiente); quindi, in qualità di Responsabile interno del Trattamento dei Dati Personali (RTDP) ex D. Lgs. 196/03, l’attuale Privacy manager.
Successivamente, dal ruolo di Consulente a quello di Mentore il passo è stato breve.

La conclusione è presto detta:
care Organizzazioni, siate fiduciose e ben disposte. Non sempre la soluzione è lontana. Potreste stupirvi e scoprire di avere a portata di mano la risposta alle vostre domande.

Marcello Colaianni
Business, Corporate & Executive Coach
Certified DPO, DP Auditor e ISDP 10003 Auditor

Compliance & Mgmt Systems Consultant/Auditor

 

 

Reg. UE 679/2016 e Reg. UE 910/2014: quali relazioni?

La cosiddetta privacy, o più propriamente la Data Protection, è qualcosa che va ben oltre il GDPR dal quale, per altro, non si può prescindere.

La quantità di norme ad esso correlate è significativo; basti pensare, a solo titolo esemplificativo, al novellato D. Lgs. 196/03, al D. Lgs. 51/2018 che ha recepito la Dir. UE 2016/680, al D. Lgs. 53/2018 in attuazione della Dir. (UE) 2016/681, al D. Lgs. 18 maggio 2018, n. 65 già Dir. UE 2016/1148 o, ancora, al Reg. UE 2019/945 relativo ai sistemi aeromobili senza equipaggio e agli operatori di paesi terzi di sistemi aeromobili senza equipaggio (droni).

In questa sede, in particolare, voglio soffermarmi sulla relazione intrinseca che si pone fra il Reg. UE 679/2016 ed il e Reg. UE 910/2014 in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno.

Che vi sia una relazione indissolubile fra i due regolamenti è facilmente evincibile dal disposto ex art. 5/910 secondo cui il trattamento dei dati a carattere personale è effettuato a norma della direttiva 95/46/CE; direttiva sostituita, appunto dal Reg. UE 679/2016.

Ma cos’è il Regolamento 910/2014?

La finalità principale del Reg. 910/2014, ci ricorda il considerando (2), è quello di rafforzare la fiducia nelle transazioni elettroniche nel mercato interno fornendo una base comune per interazioni elettroniche sicure fra cittadini, imprese e autorità pubbliche, in modo da migliorare l’efficacia dei servizi elettronici pubblici e privati, nonché dell’eBusiness e del commercio elettronico, nell’Unione europea.

E cosa si intende per servizi fiduciari?

È il regolamento stesso a definirli come un servizio elettronico fornito normalmente dietro remunerazione e consistente nei seguenti elementi:

  1. creazione, verifica e convalida di firme elettroniche, sigilli elettronici o validazioni temporali elettroniche, servizi elettronici di recapito certificato e certificati relativi a tali servizi; oppure
  2. creazione, verifica e convalida di certificati di autenticazione di siti web; o
  3.  conservazione di firme, sigilli o certificati elettronici relativi a tali servizi.

E questo è un aspetto di grande rilievo che dà al regolamento grande significatività rafforzando l’importanza e gli effetti, anche in termini giuridici, dei documenti informatici. Ciò lascia ben intendere la potenza di un siffatto strumento, anche di garanzia, nelle relazioni fra privati oltre che con la Pubblica Amministrazione e, nella fattispecie, nei bandi di gara.

È facilmente comprensibile, allora, la relazione di cui si è detto e l’importanza di attenersi ai requisiti in materia di protezione dei dati personali da parte degli attori del regolamento eIDAS (electronic IDentification Authentication and Signature) ovvero dei Prestatori di servizi fiduciari, dell’Organo di vigilanza (AgID) e, ancora, di eventuali altri soggetti quali gli Organismi di valutazione della conformità coinvolti nella attività di verifica sia dei prestatori di servizi fiduciari qualificati sia dei servizi fiduciari qualificati in conformità al regolamento in discorso.

Alla relazione circa il rispetto dei principi sulla protezione dei dati personali nelle attività di cui al regolamento eIDAS, segue la scelta comune del legislatore europeo di regolare la materia ricorrendo allo strumento giuridico più incisivo ed efficace poiché direttamente applicabile ed obbligatorio in tutti i suoi elementi: il Regolamento.
Attenzione però.
Il Reg. UE 679/2016 è stato pubblicato nella GUUE il 4 maggio 2016, è entrato in vigore il 24 maggio 2016 ed ha trovato piena applicazione il 25 maggio 2018.
Il Reg. UE 910/2014 è stato emanato il 23 luglio 2014 e si applica dal 1° luglio 2016 con eccezione per alcuni requisiti.
Inoltre, il Regolamento eIDAS è obbligatorio limitatamente al settore pubblico mentre per i privati costituisce una facoltà.

Un aspetto ancor più interessante è la possibilità, per entrambi i regolamenti, di poter conseguire la certificazione, da parte dei soggetti interessati, delle relative attività; di trattamento nel caso del GDPR e dei servizi fiduciari per le transazioni elettroniche per quanto riguarda il regolamento eIDAS.
Come addetto ai lavori, riguardo alla certificazione delle attività di trattamento personalmente ricorro allo schema (International Scheme for Data Protection) ISDP 10003:2018 che mi dà tutte le rassicurazioni del caso.
Relativamente al Regolamento eIDAS, invece, il riferimento è la norma ETSI EN 319 403: Electronic Signatures and Infrastructures (ESI); Trust Service Provider Conformity Assessment – Requirements for conformity assessment bodies assessing Trust Service Providers.
In entrambi i casi, va da sé, il presupposto è la norma UNI CEI EN ISO/IEC 17065: Valutazione della conformità – Requisiti per organismi che certificano prodotti, processi e servizi.

In conclusione, il ricorso ad una visione d’insieme, con padronanza in una o più specializzazioni, è sicuramente opportuno ed oltremodo necessario, se non in capo ad uno stesso soggetto, nell’ambito di un network in cui professionalità complementari e condivise si attivano coniugando le rispettive aree di competenza e permettendosi la possibilità e la disponibilità al confronto ed alla crescita virtuosa.

Marcello Colaianni
Certified ISDP 10003 Auditor
Certified DPO e DP Auditor UNI11697
Compliance & Mgmt Systems Consultant/Auditor

ISO 27001 e ISO 27701? Non Conformi per la certificazione secondo il GDPR.

Persistere nell’affermazione per cui una certificazione ISO 27001 o ISO 27701 sia idonea per dimostrare la conformità al presente regolamento dei trattamenti effettuati dai titolari del trattamento e dai responsabili del trattamento è assolutamente pericoloso e non corrispondente alla realtà.

E per chi non è un addetto ai lavori, in  particolare, è utile conoscerne le ragioni:

  • Le norme della famiglia ISO 27000 fanno riferimento alla sicurezza delle informazioni mentre
    a) il regolamento Ue fa riferimento alla protezione dei dati personali e
    b) i dati personali e le informazioni non sono sinonimi; i dati ne fanno parte ma sono altro.
    E quand’anche si trattasse di sicurezza delle informazioni sulla privacy, è il caso di ricordare che i concetti di “privacy” e di “dati personali” sono del tutto differenti fra loro. Ecco l’occasione giusta per discernere.
    Ergo ->  sicurezza delle informazioni versus protezione dei dati personali
  • Le suddette norme sono fondate sulla UNI CEI EN ISO/IEC 17021, Requisiti per gli organismi che forniscono audit e certificazione di sistemi di gestione, mentre
    – ) l’art. 43, paragrafo 1, lett. b) del Reg. UE 679/2016 recita: Gli Stati membri garantiscono che tali organismi di certificazione (OdC) siano accreditati (…) conformemente alla norma EN ISO/IEC 17065/2012 (…).
    Questo significa che un’impresa, o qualsiasi altra organizzazione, se vuole veramente dimostrare che i suoi trattamenti sono conformi al GDPR, deve assicurarsi di:
    a) fare riferimento ad una norma di certificazione di Prodotti, processi e servizi e non di Sistemi di gestione, fondata quindi sulla ISO 17065;
    b) rivolgersi ad Organismi di certificazione accreditati Accredia secondo la norma UNI CEI EN ISO/IEC 17065 e non UNI CEI EN ISO/IEC 17021.
    Ergo: UNI CEI EN ISO/IEC 17021 versus UNI CEI EN ISO/IEC 17065
  • Le suddette norme hanno, come obiettivo, la tutela dell’organizzazione nella gestione delle informazioni, e fra queste, dei dati mentre
    – ) il regolamento ha come obiettivo, la tutela dei diritti e delle libertà delle persone fisiche, ovvero degli interessati, nel trattamento dei loro dati personali.
    Ergo: tutela dell’organizzazione versus tutela degli interessati
  • È impensabile assimilare la certificazione di sistemi in conformità alla ISO 27001, e per estensione alla ISO 27701, ai meccanismi di certificazione ex art. 42 del GDPR
    – ) per il semplice motivo per cui Gli Stati membri, le autorità di controllo, il comitato e la Commissione incoraggiano, in particolare a livello di Unione, l’istituzione di meccanismi di certificazione della protezione dei dati.
    Meccanismi di certificazione, al plurale, lasciando volontariamente la possibilità di certificare molteplici schemi di riferimento del tutto aderenti, però, al dettato ex art. 43 riguardo, in particolare, alle caratteristiche dello standard ed al soddisfacimento dei requisiti da parte degli OdC.
    Ergo: ISO 27701 versus differenti meccanismi di certificazione
  • Leggo, da più parti, che non c’è alternativa al ricorso alla norma ISO 27701 per dimostrare la conformità del sistema di gestione di un’organizzazione ai requisiti del GDPR e che l’ultima parola spetti all’European Data Protection Board che potrà dichiarare valida o meno la certificazione secondo l’estensione ISO/IEC 27701:2019 in quanto questa è l’unica strada da percorrere per mantenere uno dei principi cardine sui cui si basa il GDPR. E invece:
    a) sono molto perplesso sul fatto che l’EDPB si esprima nei suddetti termini se non confermando quanto già stabilito nel regolamento. Inoltre
    b) l’ipotetica, e quanto mai improbabile, adozione della ISO 27701 come norma di riferimento, o accettata, per la certificazione conformemente al GDPR presenterebbe grossi problemi in termini di sigilli e marchi di protezione dei dati in quanto non contemplati dalla ISO 17021 ma dalla ISO 17065
    c) sono a conoscenza di uno schema internazionale per la valutazione della conformità al Regolamento europeo 2016/679 che ha superato tutte le fasi di verifica da parte della Commissione europea: è l’ISDP 10003:2008 disponibile gratuitamente in lingua italiana, inglese e tedesca.
    Ergo: ISO 27701 versus ISDP 10003

Per ulteriori delucidazioni:
https://www.linkedin.com/feed/update/urn:li:activity:6612949169403424768/

E non solo.
Apro una parentesi per dire che so di leggende metropolitane secondo cui è possibile anche la certificazione secondo le prassi 43.1 e 43.2 dell’UNI.
Anche in questo caso, un’eventuale certificazione sarebbe out of scope e impugnabile da chicchessia.

Marcello Colaianni
Qualified ISO 27001 Auditor
Certified DP ISDP 10003 Auditor
Certified DPO e DP Auditor UNI 11697
Compliance & Mgmt Systems Consultant/Auditor