Il DPO fra attività di consulenza e compiti di sorveglianza

Fra i compiti minimi attribuiti al DPO vi sono quelli di:

  • fornire consulenza al titolare del trattamento o al responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal presente regolamento nonché da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati;
  • sorvegliare l’osservanza del regolamento, di altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo.

Di per sé tutto regolare se non fosse per la presenza di una conditio sine qua non per la quale il Titolare, ed il Responsabile, deve assicurarsi che pur potendo, il DPO, svolgere altri compiti e funzioni, queste non diano adito a conflitti d’interesse. La disposizione lascia ben intendere, a maggior ragione, che nemmeno gli stessi compiti del DPO devono dare adito a conflitti d’interesse così come, invece, potrebbe emergere laddove il DPO auditor, in sede di sorveglianza circa l’appropriata applicazione della normativa, rilevasse che il DPO consulente non si sia attivato nei modi più appropriati.

Una siffatta circostanza porrebbe il DPO, in qualità di auditor, nella condizione di controllare se stesso, in qualità di consulente. Né è il caso di parlare di priorità fra i due compiti.

Più semplicemente, la consulenza a cui si fa qui riferimento, non è quella del Consulente privacy che affianca il Titolare nell’implementazione, a tutto tondo, di un modello di gestione dei dati personali ma si traduce, più propriamente, in un’attività di indirizzo in cui il DPO:

  • si esprime in merito alla valutazione d’impatto,
  • fornisce supporto all’applicazione di regole di protezione dei dati e di policy e procedure aziendali (quali violazioni dei dati o gestione di richieste dell’Autorità di controllo),
  • monitora le misure di sicurezza,
  • verifica gli obblighi contrattuali del Responsabile del trattamento,
  • raccoglie le informazioni per identificare le attività di trattamento,
  • analizza e verifica la conformità delle attività di trattamento
  • ecc.

I compiti minimi, identificati all’art. 39, possono pertanto essere estesi purché venga assolutamente evitato il rischio di conflitto di interessi e, quindi, porre il DPO in qualsivoglia situazione in cui possa ritrovarsi nelle condizioni di sorvegliare se stesso ovvero il proprio operato.

La stessa prassi da più parti riconosciuta, anche dalle stesse linee guida del WP 29, per la quale al DPO è demandata la tenuta del registro delle attività, pur sotto la responsabilità del Titolare, è equivoca e fuorviante proprio perché si presenterebbe la circostanza in cui le figure di controllore e controllato si sovrapporrebbero in capo al DPO.

Ad integrazione del presente articolo si rimanda a:

Marcello Colaianni
Certified DPO e DP Auditor UNI 11697

Certified DP Auditor ISDP 10003:2018 Scheme
Compliance & Management Systems Consultant/Auditor

 

Annunci

Titolare del trattamento, Titolare autonomo e Titolare indipendente. Chi più ne ha più ne metta.

Da quando è entrato in vigore il Regolamento UE 679/2016, il ricorso alla figura del Titolare autonomo è pressoché quotidiano per individuare le relazioni, e l’attribuzione delle relative responsabilità, di Tizio nei confronti di Caio.

Ho ripetutamente letto gli artt. 4, 9 e 10 del GDPR ed altre norme attinenti la protezione dei dati personali ma, ahimè, mi devo proprio arrendere; la definizione di questo fantomatico Titolare autonomo non riesco proprio a trovarla.

Mi chiedo, allora, come si possa attribuire a chicchessia un’etichetta, un’identità con l’aggravante di un carico di oneri, incombenze e responsabilità non meglio definite in assenza di una definizione chiara ed inequivocabile a cui fare riferimento.

La figura del Titolare autonomo viene messa in relazione con quella del Titolare del trattamento. Questi sì che è chiaramente identificato, all’art. 4, § 1, punto 7), come la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali. Così come sono chiaramente definite altre figure contemplate dal GDPR come quella del Rappresentante del Titolare (o del Responsabile), del Contitolare, del Responsabile del trattamento e del Responsabile della protezione dei dati e ancora dei Terzi, dei Destinatari e delle Persone autorizzate. Come si può constatare, non vi è traccia del Titolare autonomo.

La suddetta relazione, di per se stessa, già riconosce l’esistenza di rapporti fra 2 soggetti, il Titolare ed il Titolare autonomo (?), per i quali il secondo effettua, nei confronti del primo, uno o più trattamenti di dati personali. E se c’è questa relazione, come si può parlare di Titolare autonomo?

Facciamo un passo indietro. Chiunque, fatte le debite eccezioni, nello svolgimento della propria attività professionale, in presenza di trattamenti di dati personali di persone fisiche è, per definizione, Titolare del trattamento. Poi succede che fra i due soggetti nasce una relazione che, rivelandosi particolarmente significativa dal punto di vista del trattamento dei dati personali, pone in essere la necessità di una specifica nominalizzazione ed attribuzione di responsabilità in capo ai due soggetti.

Vi si riconoscono, quindi, i rapporti fra:

  • Titolare e Rappresentante che viene designato laddove il titolare del trattamento non è stabilito nell’Unione;
  • Titolare e Contitolare qualora, insieme, determinano congiuntamente le finalità e i mezzi del trattamento;
  • Titolare e Responsabile del trattamento a cui, il primo, ricorre per un trattamento che deve essere effettuato per suo conto;
  • Titolare e Responsabile della protezione dei dati in presenza dei presupposti per la sua designazione obbligatoria;
  • Titolare e Terzi con riferimento ai soggetti nominativamente richiamati;
  • Titolare e Destinatari ai quali si comunicano i dati personali e, infine,
  • Titolare e Persone autorizzate al trattamento dei dati personali sotto la propria autorità.

Non vi è relazione, fra soggetti, che non sia specificatamente definita. Non si può parlare, quindi, di Titolare autonomo perché autonomo non è colui che si rapporta con il Titolare, in presenza di una relazione. La relazione va riconosciuta e definita fra quelle sopra elencate in modo da dare certezza al principio di accountability con individuazione delle rispettive responsabilità.

Parlare di Titolare autonomo significherebbe, fra l’altro, disconoscere l’esistenza di una relazione.

Ho inteso, fra le righe, che non tutti i fornitori hanno motivo di essere identificati. Certo, coloro con i quali io, come Titolare ex art. 4, § 1 punto 7), ho rapporti significativi in termini di trattamento dei dati personali devo necessariamente identificarli come Contitolari o Responsabili del trattamento; non come Titolari autonomi. Perché autonomi rispetto a me Titolare se sussiste una relazione significativa?

Esemplificando. La società XY Spa é Titolare del trattamento. Questa, ai fini privacy, ha relazioni, ovvero rapporti significativi, con il Medico competente, l’Organismo di Vigilanza, il Collegio sindacale, i Revisori legali, ecc.
Non mi soffermo, in  questa sede, per stabilire o esprimere un parere sull’etichetta, sulla figura da attribuire a questo o quel soggetto che si rapporta con il Titolare, la società XY Spa. Resto nella semplice convinzione che questi soggetti non possono essere Titolari autonomi rispetto a XY Spa in presenza di una relazione … e nemmeno Titolari.

La loro esistenza, infatti, è strettamente collegata alla relazione imposta dalle differenti disposizioni di legge nei confronti del Titolare XY Spa.
Il medico competente, il Collegio sindacale, l’Organismo di Vigilanza, e così via, ci sono esclusivamente in funzione della relazione con il Titolare; non hanno una propria ed indipendente identità.

In presenza di siffatto legame faccio molta fatica a riconoscere una qualsiasi autonoma titolarità.

Inoltre, il § “10.” dell’art. 28/679/2016, recita: <<Fatti salvi gli articoli 82, 83 e 84, se un responsabile del trattamento viola il presente regolamento, determinando le finalità e i mezzi del trattamento, è considerato un titolare del trattamento in questione>>.

Il disposto normativo in discorso, pone in essere 2 possibili situazioni. La prima è quella per cui:

  1. assumo, come premessa, il fatto che già mi rivolgo ad un responsabile in quanto a lui ricorro per un trattamento, per mio conto, di dati personali. Dati:
    – di cui io, come Titolare, determino le finalità ed i mezzi di trattamento,
    – per il cui trattamento il Responsabile è tenuto all’osservanza dei requisiti ex art. 28;
  2. se il Responsabile viola il presente regolamento assumendo, a dispetto delle mie istruzioni documentate, una posizione di autodeterminazione delle finalità e dei mezzi di trattamento, allora, per il trattamento in questione, cioè per il trattamento per il quale l’ho designato, assume le responsabilità di Titolare alla stessa stregua per cui il Responsabile è Titolare dei propri trattamenti.

La seconda ipotesi è quella per cui il responsabile (fornitore) che si sottrae alla sottoscrizione della nomina da parte del Titolare (cliente) diventa, a sua volta, Titolare [ex art. 4, § 1 punto 7)] per il trattamento dei dati effettuato per conto del cliente.
Così è, per esempio, per i professionisti iscritti a Ordini e Collegi o per i consulenti informatici che, pur trattando a vario titolo i dati personali riconducibili al Titolare, si considerano dei Titolari autonomi (???).

Ne consegue, per quanto sopra, che anche qui siamo ben lontani dal poter parlare di Titolare autonomo.

Ah, un’altra cosa. Si badi bene che quando parlo di determinazione di finalità e mezzi di trattamento il contesto è quello della protezione dei dati personali senza riferimento alcuno alla libertà organizzativa del proprio lavoro da parte del professionista.

Marcello Colaianni
Certified DPO e DP Auditor UNI 11697

Certified DP Auditor ISDP 10003:2018 Scheme
Compliance & Management Systems Consultant/Auditor

L’istituto della Certificazione in Svizzera alla luce del GDPR e della Legge federale sulla protezione dei dati (LPD).

La Svizzera non è Stato membro dell’Unione Europea cionondimeno l’osservanza del Regolamento UE 679/2016 (GDPR) trova applicazione anche qui, sia pur in determinate circostanze. In particolare nelle ipotesi in cui le attività di trattamento:

  1. siano riconducibili alla filiale dell’impresa svizzera che si trovi all’interno dell’Unione europea;
  2. riguardino l’offerta di beni o la prestazione di servizi agli interessati che si trovino nell’Unione, indipendentemente dall’obbligatorietà di un pagamento dell’interessato;
  3. riguardino il monitoraggio del comportamento degli interessati nella misura in cui tale comportamento ha luogo all’interno dell’Unione;
  4. siano riconducibili all’impresa svizzera che assume il ruolo di Responsabile del trattamento, per un’impresa europea, nello svolgimento delle attività di cui al punto “2.”

Per quanto in  premessa, in sede di applicazione del GDPR, le imprese svizzere possono essere interessate alla certificazione per la protezione dei dati personali con riferimento alle proprie attività di trattamento.
Certificazione già contemplata dalla Legge federale sulla Protezione dei Dati – LPD (235.1 del 19/6/1992) che, all’art. 11: Procedura di certificazione, dispone:

  1. <<Per migliorare la protezione e la sicurezza dei dati, i fornitori di sistemi e di programmi di trattamento dei dati, nonché le persone private o gli organi federali che trattano dati personali possono sottoporre i loro sistemi, le loro procedure e la loro organizzazione a una valutazione da parte di organismi di certificazione riconosciuti e indipendenti>>.
  2. <<Il Consiglio federale emana disposizioni sul riconoscimento delle procedure di certificazione e sull’introduzione di un marchio di qualità inerente alla protezione dei dati. Esso tiene conto del diritto internazionale e delle norme tecniche riconosciute a livello internazionale>>.

Ma è la lettura del Messaggio – concernente la revisione della legge federale sulla protezione dei dati (LPD) e il decreto federale concernente l’adesione della Svizzera al Protocollo aggiuntivo dell’8 novembre 2001 alla Convenzione per la protezione delle persone in relazione all’elaborazione automatica dei dati a carattere personale concernente le autorità di controllo e i flussi internazionali di dati – del 19 febbraio 2003 a fornire utili ed ulteriori specificazioni:

  • 2.10 – Art. 11: Procedura di certificazione
    “(…)
  • Devono essere sviluppate sia procedure di certificazione di processi operativi rilevanti per la protezione di dati o di strutture organizzative (audit in materia di protezione di dati) sia la valutazione di sistemi o programmi informatici – cioè di prodotti – per quanto riguarda l’osservanza di standard in materia di protezione di dati.

Dal che emerge che ciò di cui si sta parlando è una certificazione di prodotti, processi e servizi fondata sulla norma UNI CEI EN ISO/IEC 17065: Valutazione della conformità – Requisiti per organismi che certificano prodotti, processi e servizi.

  • La procedura di valutazione deve portare, una volta stabilito che le norme legali e tecniche del ramo sono osservate, al conferimento di un marchio di qualità inerente alla protezione di dati. Questo riconoscimento può essere utilizzato dalle ditte di certificazione per scopi pubblicitari e portato a conoscenza del pubblico. Le autorità e ditte certificate sono escluse dall’obbligo di notifica della loro raccolta di dati di cui all’articolo 11a, se hanno comunicato il risultato della valutazione all’Incaricato della protezione dei dati. Questo alleggerimento ha lo scopo di incentivare.

Il conseguimento della certificazione consente quindi ampia pubblicità circa l’assicurazione sull’idoneità, correttezza ed adeguatezza delle proprie attività di trattamento e disimpegna le ditte certificate dall’obbligo di notifica.

  • Gli organismi che svolgono questa procedura di certificazione devono essere indipendenti, dal punto di vista soprattutto organizzativo ma anche tecnico, dai privati o dalle autorità da valutare. Il riconoscimento di questi organismi dovrà essere regolato dal Consiglio federale nell’ordinanza. È anche immaginabile che gli organismi di certificazione debbano disporre di un accreditamento.
    Inoltre l’Incaricato deve verificare se le procedure di valutazione e il conferimento del marchio di qualità sono compatibili con il diritto vigente. Egli può intervenire mediante gli strumenti previsti dalla LPD (raccomandazione, proposta alla commissione della protezione dei dati).

Ora, pur considerato che in Svizzera è in elaborazione uno standard per procedure uniformi in materia di certificazioni inerenti alla protezione di dati, può essere utile sapere che esiste già, sul mercato, un meccanismo di certificazione conforme al GDPR, accreditato Accredia, e promosso dalla Commissione europea: l’International Scheme for Data Protection ISDP 10003:2018.

Il ricorso ad un siffatto meccanismo di certificazione che, di per sé, fornisce già una molteplicità di assicurazioni e garanzie, può essere strumento chiarificatore dello stato dell’arte in Svizzera e, forse, valido suggerimento per gli obiettivi che la Confederazione elvetica vuole raggiungere.

Qui, infatti, il riferimento alla certificazione si fonda:

  • sull’art. 11 della Legge federale sulla protezione dei dati,
  • sull’Ordinanza  sulle certificazioni in materia di protezione dei dati (OCPD) che, aggiornato al 1° novembre 2016, richiama le norme UNI EN ISO 9001: Sistemi di gestione per la qualità – Requisiti e UNI CEI ISO/IEC 27001: Tecnologie informatiche – Tecniche per la sicurezza – Sistemi di gestione per la sicurezza delle informazioni – Requisiti ed altre ordinanze.

Inoltre, nel documento riepilogativo circa lo stato della certificazione di prodotti e servizi si legge: “Dalla discussione è emerso che per il mercato svizzero una certificazione di prodotti informatici (hardware, software o sistemi per l’elaborazione automatizzata dei dati) è improponibile per ragioni giuridiche, tecniche e finanziarie. Diversi partecipanti al gruppo di lavoro hanno però chiesto di introdurre una certificazione dei servizi”.

L’art. 5 della suddetta ordinanza (RS 235.13), tuttavia, fa riferimento alla Certificazione dei prodotti e più precisamente alla certificazione dei prodotti destinati in prevalenza al trattamento di dati personali o generanti, al momento del loro impiego, dati personali, in particolare relativi all’utente rilevando l’effettiva mancanza circa la normazione di una certificazione dei servizi.

Orbene, un piccolo richiamo alle norme ISO torna utile.
Nell’alveo delle norme ISO di Valutazione della conformità si riconoscono:

  • la norma ISO 17020:2012: Requisiti per il funzionamento di vari tipi di organismi che eseguono ispezioni;
  • la norma ISO 17021:2012: Requisiti per gli organismi che forniscono audit e certificazione di sistemi di gestione;
  • la norma ISO 17024:2012: Requisiti generali per organismi che eseguono la certificazione delle persone;
  • la norma ISO 17025:2018: Requisiti generali per la competenza dei laboratori di prova e di taratura e
  • la norma ISO 17065:2012: Requisiti per organismi che certificano prodotti, processi e servizi.

È proprio quest’ultima, la ISO 17065, a fare al nostro caso.

La norma in discorso, infatti, non è quella fondante su cui si basano gli organismi per la certificazione di un sistema di gestione aziendale ma è quella di accreditamento degli organismi che certificano processi, prodotti e servizi.
É quella richiamata nel GDPR, il regolamento 679/2016, a cui le imprese svizzere devono adeguarsi in presenza delle considerazioni in premessa; è la norma:

  • per la certificazione dei prodotti di cui all’art. 5 dell’ordinanza di RS 235.13,
  • per la certificazione di processi operativi rilevanti per la protezione di dati (v- § 2.10 – Art. 11: Procedura di certificazione Messaggio del 19/2/2003 di revisione della LPD).

In conclusione:
fatto salvo il rispetto delle leggi della Confederazione elvetica, cantonali nonché, in presenza di presupposti, del Regolamento UE 679/2016:

  • la certificazione di prodotti, processi e servizi, di cui alla normativa richiamata, viene soddisfatta se effettuata da un organismo di certificazione accreditato in conformità alla ISO 17065. A questi presupposti è sicuramente allineato lo schema ISDP 10003 di Inveo Srl.
  • la certificazione di sistemi, procedure e dell’organizzazione dei fornitori e delle persone private, di cui all’art. 11 della LPD, se non soddisfatta come sopra, deve necessariamente avvenire in conformità a una o più norme fondate sulla ISO 17021 ovvero sulla norma di accreditamento degli organismi che forniscono certificazioni di sistemi di gestione.

In questo caso, però,  è utile che le direttive emanate dall’incaricato – sui requisiti minimi che un sistema di gestione della protezione dei dati deve adempiere – non si limitino a richiamare la ISO 9001 e la ISO 27001 estendendosi, per esempio, alla linea guida BS 10012:2017: Data protection – Specification for a personal information management system e alla ISO 27552 dal titolo “Security techniques – Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management –  Requirements and guidelines” che, pur rientrando fra le norme della famiglia ISO 27000 riguardanti la sicurezza delle informazioni sembra estendere il proprio campo di applicazione agli aspetti inerenti la gestione dei dati personali.

Marcello Colaianni
Certified DPO e DP Auditor UNI 11697

Certified DP Auditor ISDP 10003:2018 Scheme
Compliance & Management Systems Consultant

 

I Conflitti d’interesse del Responsabile della protezione dei dati (RPD/DPO)

Il presente articolo propone una chiave di lettura un po’ diversa e meno perentoria rispetto a quello dal titolo: <<DPO e Responsabile del trattamento: 2 facce della stessa medaglia?>> pubblicato il 28 dicembre 2018.
L’esigenza di soffermarsi su altre considerazioni è emersa dirompente alla luce delle esigenze manifestate a gran voce da diversi Titolari e Responsabili miei clienti e da situazioni che mi trovo, professionalmente, a constatare quasi quotidianamente.

Resta valido il ragionamento per il quale il Titolare (ed il Responsabile) si assicura che eventuali altri compiti e funzioni svolte dal DPO non diano adito a un conflitto di interessi.
Le linee guida dell’Articolo 29 Data Protection Working Party si sono già bene espresse sull’opportunità di evitare possibili situazioni di conflitto d’interesse, dentro l’organizzazione – riguardo a ruoli manageriali di vertice (amministratore delegato, responsabile operativo, responsabile finanziario, responsabile sanitario, direzione marketing, direzione risorse umane, responsabile IT), ma anche rispetto a posizioni gerarchicamente inferiori se queste ultime comportano la determinazione di finalità o mezzi del trattamento – e anche in ipotesi di nomina di un DPO esterno al quale si chieda di rappresentare il titolare o il responsabile in un giudizio che tocchi problematiche di protezione dei dati.
Qui, il DPO avvocato non può, evidentemente, rappresentare in giudizio il proprio Titolare.

Se con riferimento alla designazione interna l’orientamento è piuttosto chiaro, l’eventuale nomina esterna del DPO suggerisce di valutare ogni singolo caso per l’oggettivo, e soggettivo, rischio di porre in essere un conflitto d’interessi il che porta all’inevitabile conseguenza di soprassedere all’assunzione del ruolo in discorso.

Assunto che il conflitto di interessi è quella condizione giuridica che si verifica quando viene affidata un’alta responsabilità decisionale a un soggetto che ha interessi personali o professionali in contrasto con l’imparzialità richiesta da tale responsabilità, che può venire meno a causa degli interessi in causa, l’analisi del singolo caso può, nel rispetto dei requisiti di legge, portare ad alcune considerazioni piuttosto interessanti.

Per esempio: il consulente in materia di sicurezza sul lavoro, indubbiamente, effettua trattamenti di dati personali. Per questi motivi viene nominato Responsabile esterno per i dati del Titolare trattati specificatamente in ottemperanza all’oggetto del relativo contratto di consulenza.
È anche vero che nel contratto di nomina del consulente a RTDP, è il Titolare che impartisce istruzioni scritte sulle condizioni e modalità di trattamento dei propri dati nell’espletamento della consulenza; ciò conformemente al dettato ex art. 28/679/2016.
Non è il Consulente ad avere un ruolo che comporti la definizione delle finalità o modalità del trattamento di dati personali.

La domanda da porsi, a questo punto è: <<qual è il conflitto d’interessi che si pone, per la protezione dei dati personali, laddove il consulente in materia di sicurezza sul lavoro venga designato DPO?>> Naturalmente in presenza delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all’articolo 39.

Ricordiamo ancora che il responsabile della protezione dei dati può svolgere altri compiti e funzioni … e, per le riflessioni che seguono, non si può affermare, tout court, che il controllore controlli il controllato.
Allo stesso modo non vi è alcun divieto, nel regolamento, a che un Responsabile possa ricoprire il ruolo di DPO.

Ogni situazione va analizzata caso per caso.
La raccomandazione delle linee guida dell’Articolo 29 DPWP di adottare procedure per:

  • individuare le qualifiche e funzioni che sarebbero incompatibili con quella di RPD;
  • redigere regole interne a tale scopo onde evitare conflitti di interessi;
  • prevedere un’illustrazione più articolata dei casi di conflitto di interessi;
  • dichiarare che il RPD non versa in alcuna situazione di conflitto di interessi con riguardo alle funzioni di RPD, al fine di sensibilizzare rispetto al requisito in questione;
  • prevedere specifiche garanzie nelle regole interne e fare in modo che nel segnalare la disponibilità di una posizione lavorativa quale RPD ovvero nel redigere il contratto di servizi si utilizzino formulazioni sufficientemente precise e dettagliate così da prevenire conflitti di interessi

è sicuramente utile nel dare enfasi ed evidenza dell’assenza di (rischi di) conflitti d’interesse come nell’esemplificazione considerata.

Il DPO, come sopra nominato, è vero, ha interessi professionali presso il Titolare; è infatti consulente per la sicurezza sul lavoro. Ma l’imparzialità richiesta al DPO può in qualche modo essere compromessa dal fatto che questi sia un Responsabile? Dal fatto che sia un consulente, non in materia di protezione dei dati personali ma di sicurezza sul lavoro?
Alla lettera “h)”, § 3 dell’art. 28/679/2016 è scritto che il Responsabile deve (…) consentire e contribuire alle attività di revisione, comprese le ispezioni, realizzate dal titolare del trattamento o da un altro soggetto da questi incaricato.
Bene. Sarà direttamente il Titolare, o altro soggetto da questi incaricato, che si assicurerà circa il rispetto degli obblighi previsti da parte del consulente.
Non sarà certo coinvolto il DPO/Consulente a controllare se stesso quanto, piuttosto, un organismo indipendente di terza parte che potrà esprimersi circa l’appropriatezza dei comportamenti assunti dal consulente sia in qualità di Responsabile sia in quella di DPO.

La suddetta esemplificazione lascia quindi ben intendere che non si può generalizzare e lasciare insoddisfatte aprioristicamente esigenze organizzative che, in realtà, si rivelano non solo appropriate ma persino opportune.

Con ben in mente la suddetta definizione di conflitto d’interessi, questo si pone, ragionevolmente, se:

  1. il nostro Responsabile fosse consulente in materia di protezione di dati personali e non di sicurezza sul lavoro. Come potrebbe il DPO controllare l’operato del Titolare quando questi agisce assecondando le sue stesse indicazioni?
  2. il Titolare è assistito dallo studio legale (o dalla società di consulenza), in sede di applicazione ed osservanza dei requisiti della normativa privacy e ad assumere il ruolo di DPO è uno degli avvocati o altri soggetti (ovvero un dipendente della società) che ivi lavorano. Con quale autorevolezza ed imparzialità il DPO si relaziona con il Titolare per dirgli cosa va o non va nel modello di adeguamento al GDPR predisposto dallo stesso studio legale (società di consulenza) con cui e/o per cui lavora?
  3. il consulente informatico che assiste il Titolare per gli aspetti ICT, latu sensu, fosse designato DPO. Questi può oggettivamente ritenersi del tutto “estraneo” al trattamento dei dati personali ed in condizioni, quindi, di garantire l’imparzialità e l’indipendenza che è richiesta al Responsabile per la protezione dei dati? Secondo me, no.

Nei tre casi considerati, a titolo esemplificativo, sia il consulente privacy che quello informatico così come lo studio legale vanno nominati Responsabili esterni del trattamento ex art. 28/679/2016 in quanto ad essi il Titolare ricorre per trattamenti effettuati per suo conto, ma a determinare il conflitto d’interessi non è la nomina a Responsabili bensì il tipo di attività che sottende la relazione con il Titolare.

Il ragionamento da fare è un po’ quello per la composizione dell’Organismo di Vigilanza (OdV).
Il Responsabile del servizio di prevenzione e protezione (RSPP) piuttosto che il consulente del sistema di gestione ambientale e persino i sindaci nelle società di capitale, a dispetto del disposto ex art. 6/231/2001 c. 4-bis, non possono – de facto – far parte dell’OdV in presenza di conflitto d’interessi in quanto:

  • l’RSPP, membro dell’OdV, si ritroverebbe a controllare il proprio operato con riferimento all’osservanza della normativa sulla sicurezza sul lavoro la cui materia è contemplata fra i rischi reato 231;
  • il consulente ambientale, allo stesso modo, si ritroverebbe a verificare l’appropriatezza dei consigli formulati all’Organizzazione, in conformità al D. Lgs. 152/2006 e smi ed alla UNI EN ISO 14001;
  • il sindaco, infine, quale membro dell’organismo si ritroverebbe a controllare aspetti strettamente connessi alla propria attività oggetto, a loro volta, delle verifiche dell’OdV.

Né può essere membro dell’Organismo il DPO, o il consulente privacy. Come potrebbe, questi, controllare la correttezza delle azioni intraprese dovendo verificare eventuali rischi reato riguardanti i Delitti informatici ed il trattamento illecito di dati?

Ecco, queste situazioni sono del tutto assimilabili a quelle più sopra riportate; situazioni nelle quali la figura di controllore e controllato pongono sì, in essere, un evidente conflitto d’interessi.

Marcello Colaianni
Compliance & Management Systems Consultant/Auditor
Certified DPO  e DP Auditor UNI 11697
Certified DP Auditor ISDP 10003:2018 Scheme

 

 

COMPLIANCE & ENTERPRISE MANAGEMENT SYSTEMS

Da tempo, sempre più, ci accorgiamo di quanto la normativa cogente si trovi affiancata da norme volontarie che trattano, da un punto di vista sistemico, la materia.

E’ il caso, per esempio:

  1. dell’Anticorruzione che, disciplinata nell’ambito del D. Lgs. 231/01, dalla L. 190/2012, dal D. Lgs. 38/2017 e dalla L. 3/2019, è normata dallo standard UNI ISO 37001:2016;
  2. della Sicurezza sul lavoro con il D. Lgs. 81/08, da una parte, e la UNI ISO 45001, già OHSAS 18001, dall’altra;
  3. della Responsabilità Sociale, a cui fanno riferimento Leggi di stabilità e di bilancio nonché la SA8000, la UNI ISO 26000 e vari modelli di rendicontazione quali Q-RES e AA1000;
  4. dell’Igiene del prodotto alimentare di cui al Decreto Legislativo 193/07 e UNI EN ISO 22000:2018;
  5. della normativa Ambientale che vede il D. Lgs. 152/2006 a livello cogente e la UNI EN ISO 14001 e EMAS a livello volontario.

Ovviamente non si tratta di alternative; la normativa cogente va debitamente osservata dalle Organizzazioni e costituisce requisito preliminare nell’implementazione di un qualsiasi sistema di gestione aziendale.

La decisione di adottare uno standard di riferimento quale adeguamento volontario a requisiti di sistema porta tanti vantaggi in più:

  1. una linea guida nell’applicazione delle leggi;
  2. la diffusione di una cultura dentro e fuori l’organizzazione;
  3. un biglietto da visita che enfatizza la propria sensibilità nello specifico argomento all’insegna delle esigenze ed aspettative dei propri stakeholders;
  4. una visibilità a livello internazionale;
  5. un più facile accesso alla partecipazione ai bandi di gara.

Da qui, la consapevolezza di questa esigenza; un’esigenza di mercato, del lavoro e della concorrenza, soddisfatta dall’opportunità di coniugare normativa cogente e volontaria all’unisono secondo un approccio evolutivo e insieme innovativo.

Marcello Colaianni
Compliance & Management Systems Consultant / Auditor
Certified DPO e Privacy Auditor UNI11697
Certified DP Auditor ISDP 10003:2018 Scheme

 

 

DPO e RESPONSABILE del trattamento: 2 facce della stessa medaglia?

Ad oltre 2 anni dall’entrata in vigore del GDPR, restano di estrema attualità le riflessioni con cui, in adempimento ai requisiti ex art. 37, § 1, lett. a), b) e c), viene designato il Responsabile della Protezione dei Dati (RPD) ovvero il DPO.

Il Regolamento è perentorio ed individua il DPO in colui che:

  1. ha idonee qualità professionali,
  2. ha la conoscenza specialistica della normativa
  3. ha la conoscenza specialistica delle prassi in materia di protezione dei dati,
  4. ha la capacità di assolvere i compiti di cui all’articolo 39
  5. può svolgere altri compiti e funzioni purché questi non diano adito a conflitti d’interessi del che è garante il Titolare/Responsabile del trattamento

il che non dovrebbe lasciare dubbi a riguardo.

Tuttavia, qualunque sia il motivo, a prevalere è la volontà di concentrare ruoli e funzioni in capo al minor numero possibile di persone supportati, oltre ogni ragionevolezza, della possibilità di svolgimento di altri compiti e funzioni a dispetto di eventuali conflitti d’interesse.
Ecco allora che troviamo il consulente, il giurista, l’esperto informatico o il risk manager avocare a sé sia il ruolo di Responsabile esterno del trattamento, in quanto gestore del trattamento dei dati del Titolare, sia, all’occorrenza, quello del DPO.

Le linee guida del EDPB forniscono chiare indicazioni raccomandando di evitare che il DPO designato ricopra ruoli di vertice (es. amministratore delegato, responsabile operativo, responsabile finanziario, responsabile sanitario, responsabile marketing, responsabile IT, direzione risorse umane) o posizioni gerarchicamente inferiori se quest’ultime comportano la determinazione di finalità o mezzi di trattamento. Qui, tuttavia, la fattispecie contrasta comunque con la previsione della designazione del DPO da parte del vertice del Titolare nonché dei presupposti di autonomia ed indipendenza.
In ipotesi di ricorso all’esterno del DPO il conflitto di interessi può poi manifestarsi laddove questi si ritrovi a ricoprire il ruolo di Responsabile o Con-titolare in qualità di, per esempio, RSPP, membro dell’OdV o dell’OdV monocratico, membro del Collegio sindacale, ecc.

Dati questi presupposti, l’orientamento sembra essere quello di evitare la designazione del DPO in capo a soggetti, interni o esterni, che in virtù delle funzioni già ricoperte trattano, a vario titolo, dati personali del Titolare.

MA le linee guida non sono fonti del diritto!

Quindi, è sufficiente che il Titolare/Responsabile afferma che non vi è conflitto d’interessi fra i compiti del DPO e gli altri compiti e funzioni?
No, occorre anche dimostrarlo in maniera inequivocabile!

Esiste un punto molto chiaro nel Regolamento che palesa l’esistenza di un conflitto d’interessi fra i 2 ruoli. Alla lettera h) dell’art. 28 che prescrive che il Responsabile del trattamento mette a disposizione del titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui al presente articolo e consenta e contribuisca alle attività di revisione, comprese le ispezioni, realizzati dal titolare del trattamento o da un altro soggetto da questi incaricato evidenziando l’impossibilità che controllore e controllato siano la stessa persona.
Insomma, c’è chi fa e c’è chi controlla!

È presto fatto: per le ispezioni al Responsabile/DPO si ricorre a un auditor interno o, meglio, ad un’organizzazione indipendente esterna evitando così che il Responsabile/DPO possa trovarsi contemporaneamente nella duplice posizione di controllore (come DPO) e di controllato (come Responsabile del trattamento).
Bah, mi sembra un comportamento elusivo e fine a se stesso.

Mi trovo costretto a perorare la mia causa: <<Responsabile e DPO sono funzioni in conflitto d’interessi!>>. Perché, fra l’altro:

  • sono normativamente inquadrati come soggetti fra loro in antitesi;
  • il Responsabile mette in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del regolamento e garantisca la tutela dei diritti dell’interessato;
  • il DPO sorveglia a che siano soddisfatti i requisiti del regolamento e messe in atto le azioni necessarie volte a tutelare i diritti dell’interessato;
  • il Responsabile tratta i dati personali soltanto su istruzione documentata del titolare del trattamento;
  • il DPO svolge i suoi compiti in assoluta assenza di istruzioni, in piena autonomia ed indipendenza.

A porre la dovuta attenzione, da parte del Titolare, circa la più idonea ed appropriata applicazione dei requisiti del GDPR è l’art. 24, 1° paragrafo che contempla, per il Titolare, la messa in atto di misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al regolamento tenuto conto (…) dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche.

Fra le misure tecniche e organizzative da considerare, fin dalla progettazione, c’è quindi l’elaborazione di un chiaro organigramma per la data protection, l’individuazione dei singoli ruoli e responsabilità, all’insegna del principio di accountability su cui si basa l’intero regolamento, nonché dei compiti e funzioni che possono avere diversi livelli di probabilità, di essere fra loro in conflitto, ed altrettanti livelli di gravità ovvero di entità del danno che ne può conseguire.
Un’analisi superficiale delle condizioni di conflitto di interesse potrebbe determinare, in capo al Titolare/Responsabile, una culpa in eligendo con il rischio di disconoscimento del DPO e l’irrogazione di sanzioni pecuniarie per la sua conseguente mancata designazione.

Tutto ciò premesso, qualunque sia il risultato della valutazione di questa fattispecie di rischio, è evidente quanto sia utile, opportuno e doveroso tenere, da subito, separati i compiti e le aree di responsabilità in conflitto fra loro per ridurre al minimo le possibilità di trattamento illecito/irregolare degli asset dell’organizzazione quali sono i dati personali.

Marcello Colaianni
Certified DPO UNI11697
Certified DP Auditor ISDP10003 Scheme
Valutatore Privacy Certificato UNI11697

 

Il DPO è un AUDITOR!

L’art. 39 ci ricorda quali sono i compiti primari del DPO.

Fra questi, quello dell’Auditor, ovvero il compito di sorvegliare l’osservanza del regolamento, di altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo è sicuramente l’attività che in maggior misura impegna il DPO.

Egli esamina il trattamento di dati personali, valutando il rispetto di leggi e regolamenti applicabili e approva le misure necessarie a eliminare eventuali non-conformità rilevate, mantenendo una posizione indipendente da chi svolge attività manageriali e operative.

Per quanto sopra si evince che la conoscenza della normativa e la capacità di darle la più appropriata interpretazione nella sua applicazione in seno a ciascun Titolare/Responsabile è una prerogativa … che da sola, però, si rivela incompleta.

Essere un auditor significa avere, prima di tutto, specifiche competenze circa le modalità di conduzione degli audit.

Considerato il riferimento ai meccanismi di certificazione ex articoli 42 e 43 del GDPR, il ricorso a norme ISO internazionalmente validate, come la UNI EN ISO 19011 o la UNI EN ISO 17021-1 o la UNI ISO 31000, è logico, conseguenziale ed oltremodo coerente alla citata norma EN-ISO/IEC 17065/2012 a cui devono fare obbligatoriamente riferimento gli organismi di certificazione.

Nella fattispecie lo schema ISDP10003:2018, accreditato ACCREDIA e nominativamente richiamato in alcuni bandi di gara, fornisce chiare indicazioni proprio in merito a politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo …
… Attività di controllo per le quali l’Auditor può avvalersi di specialisti, ovvero dei cosiddetti esperti tecnici in ambito informatico, tecnologico, giuridico o organizzativo nella conduzione degli audit.

Il ricorso alle ulteriori professionalità cui può accedere il DPO, come previsto all’art. 38, va tuttavia circoscritto.
È poco professionale che il DPO si avvali di terzi soggetti quando interloquisce direttamente con il Titolare nell’esplicitazione dei punti della norma; è utile che ne sia adeguatamente e personalmente edotto.
Parimenti dicasi in ipotesi di delega delle attività di formazione e consulenza.
E ancora, laddove venga consultato nella Valutazione dei rischi o d’impatto, ricorrere ad altri ne sminuisce sia la figura sia il ruolo.

Ne consegue che il DPO debba essere personalmente autosufficiente almeno con riferimento alla normativa relativa alla protezione dei dati e agli aspetti di risk management su cui si basa la Valutazione dei rischi così come quella d’Impatto.
Attendersi questo quale requisito implicito dal Titolare del trattamento è assolutamente ragionevole.

È vero, il DPO non è un tuttologo né può esserlo ed allora trova giustificazione, per esempio, il ricorso agli esperti di cyber security.

Quello che è certo, dato anche il suo posizionamento in organigramma, sono le relazioni che pone quotidianamente in essere con le altre funzioni aziendali, oltre che con gli interessati e l’autorità di controllo.
Il suo contributo, fra l’altro, nell’assegnazione o verifica delle responsabilità e competenze al personale gli attribuiscono capacità di osservazione, sensibilità e discernimento.

Si comprende allora l’importanza di quelle abilità volte ad esaltarne gli effetti.
Abilità come la capacità di lavorare in gruppo, di analisi e di sintesi nonché l’assunzione di comportamenti idonei come l’essere di mentalità aperta e flessibile, diplomatici ed insieme tenaci e perseveranti, collaborativi ed in grado di agire con fermezza, sicuri di sé e aperti al miglioramento.

Marcello Colaianni
Certified DPO UNI11697
Valutatore Privacy certificato UNI11697
Certified DP Auditor ISDP10003:2018 scheme

DATA PROTECTION e INFORMATION SECURITY: binomio indissolubile per il payroll management

La relazione fra i due contesti, e le norme che li disciplinano, assume connotazioni differenti a seconda dell’oggetto sociale dell’organizzazione.

Sicuramente, i settori merceologici più coinvolti nella gestione combinata di sicurezza delle informazioni e protezione dei dati sono quelli propri delle aziende ICT (società di HW, SW, Telecommunications, Hosting, Web provider, ecc.), del settore sanitario e della salute e quello finanziario.

Ciò premesso, tuttavia, un ambiente estremamente critico e significativo è quello relativo ai processi di gestione delle paghe. Dal punto di vista della protezione dei dati, fra l’altro, per il trattamento di dati particolari  e, all’occorrenza, di quelli penali. Per quanto alla sicurezza delle informazioni anche per l’evidente ed imponente  utilizzo dei sistemi informativi.

In questo contesto, non deve ingannare il fatto che la data protection sia disciplinata da norme di legge mentre la information security da norme di sistema. Entrambi, infatti, mantengono estremamente elevato il loro valore strategico e sostanziale specialmente in siffatti settori merceologici.

È fondamentale che le organizzazioni che affidano in outsourcing i suddetti servizi prestino la dovuta attenzione affinché non si verifichino violazioni di sorta anche per un incauto trattamento da parte delle società appaltatrici.

Cosa fare, allora, in sede di qualificazione/riqualificazione dei propri fornitori?
Le azioni utili da intraprendere si sviluppano secondo due direttrici.

La prima consiste nell’acquisire evidenze oggettive volte a dimostrare l’adeguamento alla normativa  di riferimento:

  • Relativamente agli aspetti della Data Protection si ricorda l’esistenza di due schemi pro GDPR riconducibili al DPMS 44001 ed all’ISDP 10003;
  • Per quanto alla sicurezza delle informazioni suggerisco, nel caso di specie, la certificazione secondo la norma UNI CEI EN ISO/IEC 27001 e, eventualmente, alla UNI EN ISO 22301:2014: “Sicurezza della società – Sistemi di gestione della continuità operativa – Requisiti”, con evidenza dell’adeguamento, anche attraverso richiesta dello statement of applicability, ad una o più delle seguenti norme:
    ISO/IEC 20000-1 riguardante i requisiti per un sistema di gestione del servizio;
    ISO/IEC 27010 per la gestione della sicurezza delle informazioni per le comunicazioni intersettoriali e interorganizzative
    ISO/IEC 27018 per la protezione delle informazioni di identificazione personale (PII) in cloud pubblici che agiscono come processori PII;

La seconda direttrice contempla, in aggiunta, la pianificazione di audit di 2a parte; ovvero ispezioni presso il fornitore per verificare, in loco, l’adeguatezza dei processi aziendali attraverso auditor propri o esterni.

A dimostrare le interrelazioni che si pongono fra sicurezza delle informazioni e protezione dei dati e la particolare attenzione richiesta per tali processi è, inoltre, il requisito che la norma UNI CEI EN ISO/IEC 27001 prevede all’obiettivo A.18.1.4, dell’allegato A, che dispone: <<Si devono assicurare la privacy e la protezione dei dati personali,  come richiesto dalla legislazione e dai regolamenti pertinenti, per quanto applicabile>>.

Il requisito  in discorso è inserito in una norma di sistema ma fa riferimento ad una norma di legge, in particolare al combinato disposto di cui al Regolamento UE 679/2016 ed al novellato D. Lgs. 196/03. Il rispetto della normativa sulla data protection è, quindi, un aspetto che va puntualmente controllato e sottoposto al processo di valutazione dei rischi ex ISO 27001. Il livello di rischio determinatosi, suggerirà l’opportunità di:

  • integrare il sistema per le parti mancanti ed applicabili all’organizzazione;
  • continuare o interrompere la conduzione dell’audit di 3a parte. Ciò a discrezione del gruppo di audit, ovvero dell’Organismo di certificazione;
  • qualificare, riqualificare o revocare la qualificazione, in ipotesi di audit di 2a parte, a cura del cliente.

Le suddette considerazioni, infine, lasciano ben immaginare quanto un’appropriata strutturazione di competenze, ruoli e responsabilità sia essenziale, anzi, determinante.
Il DPO, in questa sede, è la figura ideale anche per coniugare e monitorare sull’applicazione delle due normative, e quanto ad esse correlate, all’insegna di un organizzato ed integrato modello di riferimento nonché dei comuni principi di:

  • Liceità, Correttezza e Trasparenza;
  • Riservatezza, Integrità, Disponibilità;
  • Esattezza e Responsabilizzazione.

Marcello Colaianni
Compliance & Management Systems Consultant/Auditor
Privacy Consultant, DP Auditor e DPO UNI11697 Certified
UNI CEI EN ISO/IEC 27001 Qualified Auditor                    

GDPR e WHISTLEBLOWING

Il Whistleblowing, ovvero la disciplina della segnalazione da parte del dipendente, trova il suo definitivo riconoscimento con l’entrata in vigore della L. 30 novembre 2017, n. 179 Disposizioni per la tutela degli autori di segnalazioni di reati o irregolarità di cui siano venuti a conoscenza nell’ambito di un rapporto di lavoro pubblico o privato.

In ambito pubblico, il suddetto istituto era già noto grazie al D.P.R. 16 aprile 2013, n. 62 Regolamento recante codice di comportamento dei dipendenti pubblici, a norma dell’articolo 54 del decreto legislativo 30 marzo 2001, n. 165 dove l’art. 8 recita: Il dipendente (…) fermo restando l’obbligo di  denuncia all’autorità giudiziaria, segnala al proprio superiore gerarchico eventuali situazioni di  illecito  nell’amministrazione  di  cui  sia venuto a conoscenza”.

In ambito privato la sua applicazione viene specificatamente circoscritta al D. Lgs. 231/01 con l’inserimento degli articoli 2-bis, 2-ter e 2-quater. La determinazione del perimetro del whistleblowing in seno alla Disciplina della responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica lascia ben intendere, in realtà, il notevole livello di estensione della validità di questo istituto.

Ai nostri fini, l’argomento coinvolge sicuramente la materia della “Privacy” giacché l’art. 24-bis del D. Lgs. 231/01 contempla i Delitti informatici e trattamento illecito di dati e più precisamente i reati di:

  • Falsità in un documento informatico pubblico o avente valore probatorio (art. 491-bis c.p.);
  • Accesso abusivo ad un sistema informatico e telematico (art. 615-ter c.p.);
  • Detenzione e diffusione abusiva di codici di accesso a sistemi informatici e telematici (art. 615-quater);
  • Diffusione di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico (art. 615-quinquies c.p.);
  • Intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche (art. 617-quater c.p.);
  • Installazione di apparecchiature atte ad intercettare, impedire o interrompere comunicazioni informatiche o telematiche (art. 617-quinquies c.p.);

a cui si aggiungono quelli di cui alla Parte III^ Tutela dell’interessato e sanzioni, Titolo III Sanzioni, Capo II Illeciti penali che, alla luce dello Schema di decreto legislativo recante disposizioni per l’adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679, sono:

  • Trattamento illecito di dati;
  • Falsità nelle dichiarazioni al Garante;
  • Altre fattispecie e
  • Pene accessorie

Per quanto sopra, si può quindi affermare che il D. Lgs. 231/01 si pone come elemento di congiunzione fra la Privacy, nei termini considerati, ed il whistleblowing. E questo vale per tutti coloro che, a vario titolo, vi si adeguano.

A questo punto la domanda sorge spontanea: I soggetti estranei all’obbligo di osservanza del D. Lgs. 231/01 sono comunque tenuti, ai fini della normativa vigente in materia di Data Protection, a prendere in debita considerazione tale istituto e, quindi, anche la predisposizione di idonee procedure di segnalazione?

Evidentemente no! Manca infatti la base giuridica che imponga un siffatto comportamento.

In termini volontaristici, naturalmente, è tutta un’altra cosa!

Sebbene, in questo caso, l’obiettivo sia quello di tutelare direttamente l’Interessato nel trattamento dei suoi dati personali gli effetti che ne derivano sono comunque utili al Titolare, ovvero al Responsabile del trattamento.

L’adozione volontaria di procedure di segnalazione contro il rischio di commissione di reati o irregolarità in materia di Privacy sono del tutto coerenti con il dettato di cui al Reg. UE 679/2016 nonché di quello che rimane del D. Lgs. 196 e di quello che verrà:

  1. perché il trattamento illecito dei dati è contrario al primo dei principi del GDPR;
  2. perché l’adozione di procedure di whistleblowing rientra sicuramente fra le misure tecniche e organizzative che il titolare deve adottare;
  3. perché tali comportamenti precauzionali possono concorrere a calmierare l’importo della sanzione pecuniaria;

e ancora:

  1. perché evita l’incorrere del rischio reclusione;
  2. perché estremamente pertinente nell’ipotesi di implementazione di un sistema di gestione della protezione dei dati personali;
  3. perché valido strumento contro il rischio reputazionale.

Non solo. Laddove il Titolare lungimirante intenda tener conto del whistleblowing un utile e valido  riferimento su come comportarsi è adeguarsi alle indicazioni del decreto 231 ovvero  degli articoli:

<<2-bis che prevede:

  1. uno o piu’ canali che consentano ai soggetti indicati nell’articolo 5, comma 1, lettere a) e b), di presentare, a tutela dell’integrità dell’ente, segnalazioni circostanziate di condotte illecite, rilevanti ai sensi del presente decreto (231) e fondate su elementi di fatto precisi e concordanti, o di violazioni del modello di organizzazione e gestione dell’ente, di cui siano venuti a conoscenza in ragione delle funzioni svolte; tali canali garantiscono la riservatezza dell’identità del segnalante nelle attivita’ di gestione della segnalazione;
  2. almeno un canale alternativo di segnalazione idoneo a garantire, con modalità informatiche, la riservatezza dell’identità del segnalante;
  3. il divieto di atti di ritorsione o discriminatori, diretti o indiretti, nei confronti del segnalante per motivi collegati, direttamente o indirettamente, alla segnalazione
  4. nel sistema disciplinare adottato ai sensi del comma 2, lettera e), sanzioni nei confronti di chi viola le misure di tutela del segnalante, nonché di chi effettua con dolo o colpa grave segnalazioni che si rivelano infondate.

2-ter che dispone: 

L’adozione di misure discriminatorie nei confronti dei soggetti che effettuano le segnalazioni di cui al comma 2-bis puo’ essere denunciata all’Ispettorato nazionale del lavoro, per i provvedimenti di propria competenza, oltre che dal segnalante, anche dall’organizzazione sindacale indicata dal medesimo.

2-quater per cui è stabilito che:

Il licenziamento ritorsivo o discriminatorio del soggetto segnalante è nullo. Sono altresì nulli il mutamento di mansioni ai sensi dell’articolo 2103 del codice civile, nonché qualsiasi altra misura ritorsiva o discriminatoria adottata nei confronti del segnalante. È onere del datore di lavoro, in caso di controversie legate all’irrogazione di sanzioni disciplinari, o a demansionamenti, licenziamenti, trasferimenti, o sottoposizione del segnalante ad altra misura organizzativa avente effetti negativi, diretti o indiretti, sulle condizioni di lavoro, successivi alla presentazione della segnalazione, dimostrare che tali misure sono fondate su ragioni estranee alla segnalazione stessa>>.

Ad assicurarsi circa il rispetto delle regole, se in ambito 231 spetta all’OdV, in questa sede spetta sicuramente al DPO nell’alveo dei suoi compiti istituzionali. In mancanza, è oltremodo opportuno il ricorso a un DP Auditor.

Marcello Colaianni
Compliance & Management Systems Consultant/Auditor
Privacy Consultant & DP Auditor Certified

 

DPO: Data Protection Officer versus Data Privacy Officer, stesso acronimo, figure diverse

Ho già avuto modo di scriverlo in alcuni miei articoli come quello del 21 agosto 2017 (https://marcellocolaianniblog.wordpress.com/2017/08/21/il-responsabile-della-protezione-dei-dati-il-privacy-officer-e-le-altre-figure-del-gdpr/) e mi preme qui ribadire il concetto per cui di Data Protection Officer ce n’è uno ed uno solo. È quello nominativamente previsto agli articoli 37 a 39 del Regolamento UE 679/2016.

Senza nulla togliere alle altre figure professionali della Privacy, o più correttamente, della Data Protection, vanno assolutamente specificate le differenze in termini di ruolo, mansioni e competenze.

Esiste il Chief Privacy Officer? Va bene, non è il DPO! Esistono i Privacy Officer e gli altri Officer che si occupano a vario titolo della materia in discorso? Benissimo! Sono altro rispetto al DPO!

L’ultimo nato è l’ancor più ingannevole Data Privacy Officer con acronimo identico al Data Protection Officer.  Un caso?

Da dove salti fuori non ne ho minimamente idea. È certo che se si vogliono identificare soggetti che, in azienda o fuori, si occupano della materia in discorso basta ricorrere ai suggerimenti della norma UNI 11697 che, riconoscendo personalmente il Responsabile della Protezione dei Dati,  propone la figura del Manager Privacy, valida alternativa a tutte le altre definizioni più sopra citate, dello Specialista privacy e del Valutatore privacy per i quali sono formulate caratteristiche proprie e identificative.

D’altra parte, è lo stesso WP29 (ora EDPB) a ricordarcelo:
Nulla osta a che un’azienda o un ente, quando non sia soggetta all’obbligo di designare un RPD e non intenda procedere a tale designazione su base volontaria, ricorra comunque a personale o consulenti esterni incaricati di incombenze relative alla protezione dei dati personali. In tal caso è fondamentale garantire che non vi siano ambiguità in termini di denominazione, status e compiti di queste figure; è dunque essenziale che in tutte le comunicazioni interne all’azienda e anche in quelle esterne (con l’autorità di controllo, gli interessati, i soggetti esterni in genere), queste figure o consulenti non siano indicati con la denominazione di responsabile per la protezione dei dati (RPD).
Considerazioni che valgono anche per i chief privacy officers (CPO) o altri professionisti in materia di privacy già operanti presso alcune aziende, che non sempre e non necessariamente si conformano ai requisiti fissati nel regolamento per quanto riguarda, per esempio, le risorse disponibili o le salvaguardie della loro indipendenza e che, in tal caso, non possono essere considerati e denominati “RPD”.  

Marcello Colaianni
Compliance & Management Systems Consultant/Auditor