La funzione CONTROLLO DI QUALITA’ per le società di revisione fra ISO 9001 e Regolamento CONSOB

Le società di revisione certificate ISO 9001, per i Sistemi di gestione della qualità, devono porre un’attenta distinzione con riferimento alla funzione controllo di qualità soggetta ad una specifica regolamentazione.

Il § 5.3: Ruoli, responsabilità e autorità nell’organizzazione contempla la funzione in discorso all’insegna della consapevolezza di una cultura per la qualità che non deve essere circoscritta al solo Responsabile del sistema di gestione qualità ovvero del Rappresentante della direzione per la qualità ma diffusa a tutti i livelli e funzioni dell’intera organizzazione.

Ciò premesso, la distinzione fra i ruoli pertinenti a cui devono essere assegnate specifiche responsabilità e autorità in ambito ISO e quelli i cui compiti sono richiamati dal suddetto regolamento assume particolare rilevanza in termini di chiarezza e trasparenza di compiti e mansioni, per l’organizzazione medesima, per l’organismo di certificazione ed i suoi auditor, per i clienti in sede di verifiche ispettive di qualificazione, per le Autorità competenti e gli organi di controllo.

I margini di manovra, per gli uni e gli altri soggetti, sono chiaramente definiti all’interno delle rispettive norme.

Nella norma ISO 9001, Sistemi di gestione per la qualità – Requisiti, si legge:
L’alta direzione deve assegnare le responsabilità e autorità per:
a) assicurare che il sistema di gestione per la qualità sia conforme ai requisiti della presente norma internazionale;
b) assicurare che i processi stiano producendo gli output attesi;
c) riferire, in particolare all’alta direzione, sulle prestazioni del sistema di gestione per la qualità e sulle opportunità di miglioramento (vedere punto 10.1);
d) assicurare la promozione della focalizzazione sul cliente nell’ambito dell’intera organizzazione;
e) assicurare che l’integrità del sistema di gestione per la qualità sia mantenuta, quando vengono pianificate e attuate modifiche al sistema stesso.

All’art. 13 del regolamento Consob, in materia di Antiriciclaggio, è disposto che:
1. La funzione di controllo di qualità, nell’ambito dei relativi programmi di monitoraggio, verifica l’osservanza delle disposizioni normative e delle procedure interne in materia di prevenzione e gestione dei rischi di riciclaggio e di finanziamento del terrorismo.
2. In tale ambito, la funzione, tra l’altro, verifica:
a) il costante rispetto dell’obbligo di adeguata verifica, sia nella fase di instaurazione del rapporto che nello svilupparsi nel tempo della prestazione professionale;
b) l’effettiva acquisizione e l’ordinata conservazione dei dati, informazioni e documenti prescritti dalla normativa primaria e secondaria;
c) l’effettivo svolgimento da parte del personale delle attività preordinate alla rilevazione, nell’ambito dell’esecuzione della prestazione professionale, di eventuali elementi di anomalia potenzialmente rilevanti ai fini dell’assolvimento dell’obbligo di segnalazione di operazioni sospette;
d) l’adeguatezza e l’efficacia delle attività svolte dalla funzione antiriciclaggio e la funzionalità del complessivo sistema dei controlli interni.
3. Gli interventi sono oggetto di pianificazione per consentire che le prestazioni professionali siano sottoposte a verifica in un congruo arco di tempo e che le iniziative siano più frequenti con riferimento agli incarichi caratterizzati da maggiore esposizione ai rischi di riciclaggio e di finanziamento del terrorismo.
4. La funzione di controllo di qualità svolge altresì interventi di follow-up al fine di assicurarsi dell’avvenuta adozione degli interventi correttivi delle carenze e irregolarità riscontrate e della loro idoneità ad evitare analoghe situazioni nel futuro.
5. Le verifiche svolte dalla funzione sono documentate e i relativi atti, ove richiesti, sono prontamente forniti alle Autorità di vigilanza di settore e alla UIF (Unità Interna Finanziaria).
6. La funzione redige inoltre una relazione annuale da sottoporre agli organi sociali, avente ad oggetto compiute informazioni sull’attività svolta e sui relativi esiti.

Siffatta distinzione, nel rispetto delle peculiarità delle singole funzioni, rivela l’importanza dell’organigramma:
 aziendale, quale rappresentazione grafica della struttura organizzativa dell’azienda,
 per la Qualità volta ad indentificare i diversi livelli e funzioni coinvolti nell’implementazione, applicazione e miglioramento continuo del Sistema di gestione,
 per l’Antiriciclaggio e Lotta al finanziamento del terrorismo quale presidio organizzativo per i soggetti obbligati al rispetto del D. Lgs. 21 novembre 2007 n. 231 e successive modifiche ed integrazioni.

Ti ricordo che:
 per una consulenza specifica in materia di Qualità e Antiriciclaggio,
 per un’assistenza personalizzata nell’applicazione della normativa cogente e di sistema,
 per un approccio puntuale nel raggiungimento dei tuoi obiettivi
occorrono competenze trasversali e multidisciplinari.
Visita il mio sito http://www.colaianniconsulting.it e contattami, insieme faremo la differenza.

Marcello Colaianni
Compliance & Mgmt Systems Consultant/Auditor
Certified DPO e DP Auditor UNI11697
Qualified ISO 37001 Auditor

Gli MTO fra vincoli ed opportunità

I Money Transfer Operator (MTO) rientrano nel novero dei soggetti obbligati all’osservanza della legislazione Antiriciclaggio al pari, fra gli altri, dei professionisti, delle società di revisione, delle imprese di assicurazione, degli istituti di moneta elettronica, dei prestatori di servizi relativi all’utilizzo di moneta virtuale o ancora di servizi di portafoglio digitali.

La particolarità del loro core business, l’effettuazione di operazioni di trasferimento verso paesi esteri di flussi finanziari, impone frequenti controlli da parte dell’Autorità di vigilanza.

La presenza dei molteplici paletti che li riguardano suggeriscono l’adozione di una serie di presidi organizzativi che, insieme all’adeguata applicazione della normativa cogente, sia primaria che secondaria, esaltino l’assunzione di comportamenti virtuosi e lungimiranti attraverso il conseguimento di certificazioni o attestazioni di idonei modelli di organizzazione e gestione (MOG).

È proprio su questi temi che le opportunità si sprecano potendo orientarsi verso l’implementazione di:

  • Sistemi di gestione per l’Antiriciclaggio (SGAR),
  • Sistemi di gestione per l’Anticorruzione (SGAC),
  • Sistemi di gestione per la Responsabilità amministrativa degli Enti (SGRA),
  • Sistemi di gestione della sicurezza delle informazioni (SGSI),
  • Meccanismi di certificazione dei trattamenti dei dati personali (ISDP).

Del tutto coerenti alle norme di legge, sono fra loro interoperabili attraverso il sistema High Level Structure e costituiscono, tutte, evidenza oggettiva per un Rating di legalità a tre stelle.

Le relazioni sono evidenti.

Innanzitutto ognuna delle norme tecniche prevede il soddisfacimento dei requisiti di legge. Inoltre, per le organizzazioni di piccole dimensioni in cui è assente, per esempio, un’articolazione  interna fondata su una pluralità di centri decisionali, sia la normativa secondaria sia quella di sistema contemplano la possibilità di esternalizzare la funzione antiriciclaggio così come quella per la prevenzione della corruzione con la possibilità, per il compliance officer, di avvalersi di consulenti per l’adozione di un efficace MOG 231.

Le organizzazioni in parola, in aggiunta, devono soddisfare i vari requisiti mettendo in sapiente relazione le suddette normative ed evitando che la singola ottemperanza produca una non conformità con riferimento alle altre disposizioni.

Per esempio, all’art. 3/231/2007, comma 2, si legge: I sistemi e le procedure adottati ai sensi del comma 1 rispettano le prescrizioni e garanzie stabilite dal presente decreto e dalla normativa in materia di protezione dei dati personali” il che pone i soggetti destinatari a circoscrivere la raccolta di informazioni e dati, per il principio di minimizzazione, a quanto è necessario per rispettare le prescrizioni della normativa di contrasto al riciclaggio e finanziamento del terrorismo, senza alcuna autorizzazione ad altri usi. Ciò vale, indifferentemente, per il destinatario così come per la rete distributiva e i mediatori.

L’Antiriciclaggio rientra fra i reati 231 essendo contemplato all’art. 25-octies. L’osservanza del D. Lgs. 231/01, oltre che del D. Lgs. 231/2007, si rende quindi assolutamente necessario. Qui, è prevista l’istituzione dell’Organismo di Vigilanza (OdV) che può  rappresentare l’organo con funzioni di controllo richiamato dal Provvedimento della Banca d’Italia.

E a proposito di 231/01 basti l’elenco dei reati per rendersi conto di quanto sia utile, ed opportuno, estendere il proprio campo di azione in termini di compliance a cominciare da un’adeguata struttura organizzativa dove il dialogo fra funzioni di line e quelle di staff consente il raggiungimento del vantaggio competitivo aziendale coniugando sviluppo del business e osservanza delle norme.

Ti ricordo che:

  1. per una consulenza specifica in materia di D. Lgs. 231/01, D. Lgs. 231/2007, D. Lgs. 38/2017, Reg. 679/2016 e novellato D. Lgs. 196/03, ISDP 10003, ISO 19600, ISO 27001, ISO 37001 e Rating di legalità;
  2. per un’assistenza personalizzata nell’applicazione della normativa cogente e di sistema;
  3. per un approccio puntuale nel raggiungimento dei tuoi obiettivi

occorrono competenze trasversali e multidisciplinari.
Visita il mio sito http://www.colaianniconsulting.it e contattami, insieme faremo la differenza.

Marcello Colaianni
Compliance & Mgmt Systems Consultant/Auditor
Certified DPO e ISDP 10003 Auditor
Qualified ISO 37001 Auditor

 

OHSAS 18001, ISO 45001 e l’efficacia esimente della responsabilità amministrativa delle persone giuridiche

Con la pubblicazione della norma UNI ISO 45001 può emergere il dubbio circa la continuità del carattere di esimente della responsabilità amministrativa delle persone giuridiche che, ai sensi del comma 5 dell’art. 30/81/08, caratterizza i modelli di organizzazione aziendale definiti conformemente […] al British Standard OHSAS 18001:2007.
Il dubbio, peraltro legittimo, si riferisce al carattere di vincolatività della norma tecnica nominativamente richiamata da quella cogente.

La riflessione che ne deriva è quella di attendersi un aggiornamento del comma 5 dell’art. 30/81/08 con l’esplicito riferimento alla ISO 45001:2018 o, più genericamente, ai sistemi di gestione per la salute e sicurezza sul lavoro senza riferimenti alla norma ed al suo livello di revisione.
In caso contrario, le conseguenze si potrebbero tradurre nella possibile perdita del carattere di esimente o nel mantenimento del modello OHSAS 18001 ai soli fini 231 (2001) e l’implementazione del SGSL, secondo la norma ISO 45001, per il conseguimento o mantenimento della certificazione.

Nel sottolineare, doverosamente, che l’efficacia esimente non si riferisce ad un sistema di gestione certificato bensì all’adozione di un idoneo modello di organizzazione e gestione efficacemente attuato conformemente alle linee guida per un sistema di gestione della salute e sicurezza sul lavoro, è parere di chi scrive che il subentro della UNI ISO 45001 alla OHSAS 18001 nulla cambia né richiede particolari o espliciti aggiornamenti normativi.

La ragione è evincibile dal combinato disposto ex artt. 2087 cc e 15, c. 1 lett. t) del D. Lgs. 81/08.

  • L’art. 2087 cc, recita: “L’imprenditore è tenuto ad adottare nell’esercizio dell’impresa le misure che, secondo la particolarità del lavoro, l’esperienza e la tecnica, sono necessarie a tutelare l’integrità fisica e la personalità morale dei prestatori di lavoro [Cost. 37, 41]”  ponendosi quale norma di chiusura e fornendo gli strumenti per evitare antinomie e vuoti normativi.
    In quanto tale, in materia di sicurezza sul lavoro, si assume che laddove faccia difetto una specifica misura preventiva il datore di lavoro ha l’obbligo di adottare comunque le misure generiche di prudenza, diligenza ed osservanza delle norme tecniche.
  • L’art. 15, allo stesso modo, al c. 1 lett. t), annovera, fra le misure generali di tutela: “la programmazione delle misure ritenute opportune per garantire il miglioramento nel tempo dei livelli di sicurezza, anche attraverso l’adozione di codici di condotta e di buone prassi“, così come sono generalmente intese le norme tecniche di sistema.
  • La giurisprudenza, infine, si è espressa in più occasioni orientandosi negli stessi termini e sentenziando circa il dovere generale di tutela derivante dalla Costituzione e dall’art. 2087 del codice civile.

Per i suddetti motivi, quindi, il riferimento alla OHSAS 18001, tutt’ora inserito al comma 5 dell’art. 30/81/08, é da intendersi esteso alla nuova norma ISO 45001 quale linea guida per un sistema di gestione della salute e sicurezza sul lavoro a cui riferirsi per l’implementazione di un modello di organizzazione e di gestione idoneo ad avere efficacia esimente della responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni.

Ti ricordo che:

  1. per una consulenza specifica in materia di ISO 45001, D. Lgs. 81/08 e D. Lgs. 231/01;
  2. per un’assistenza personalizzata nell’applicazione della normativa cogente e di sistema;
  3. per un approccio puntuale nel raggiungimento dei tuoi obiettivi

occorrono competenze trasversali e multidisciplinari.
Visita il mio sito http://www.colaianniconsulting.it e contattami, insieme faremo la differenza.

Marcello Colaianni
Compliance & Mgmt Systems Consultant/Auditor
Certified DPO e DP Auditor UNI11697
Qualified ISO 37001 Auditor

La funzione CONTROLLO DI QUALITA’ per le società di revisione fra ISO 9001 e Regolamento Consob

Le società di revisione certificate ISO 9001, per i Sistemi di gestione per la qualità, devono porre un’attenta distinzione con riferimento alla funzione controllo di qualità soggetta ad una specifica regolamentazione.

Il paragrafo 5.3 della 9001: Ruoli, responsabilità e autorità nell’organizzazione contempla la funzione in discorso all’insegna della consapevolezza di una cultura per la qualità che non deve essere circoscritta al solo Responsabile del sistema di gestione ovvero del Rappresentante della direzione per la qualità, ma diffusa a tutti i livelli e funzioni dell’intera organizzazione.

Ciò premesso, la distinzione – fra i ruoli pertinenti a cui devono essere assegnate specifiche responsabilità e autorità in ambito ISO e quelli i cui compiti sono richiamati dal suddetto regolamento – assume particolare rilevanza in termini di chiarezza e trasparenza di compiti e mansioni per l’organizzazione medesima, per l’organismo di certificazione ed i suoi auditor, per i clienti in sede di verifiche ispettive di qualificazione, per gli organi di controllo e le Autorità competenti.

I margini di manovra, per gli uni e gli altri soggetti, sono chiaramente definiti all’interno delle rispettive norme.

Nella norma ISO 9001, Sistemi di gestione per la qualità – Requisiti, si legge:
L’alta direzione deve assegnare le responsabilità e autorità per:

  1. assicurare che il sistema di gestione per la qualità sia conforme ai requisiti della presente norma internazionale;
  2. assicurare che i processi stiano producendo gli output attesi;
  3. riferire, in particolare all’alta direzione, sulle prestazioni del sistema di gestione per la qualità e sulle opportunità di miglioramento
  4. assicurare la promozione della focalizzazione sul cliente nell’ambito dell’intera organizzazione;
  5. assicurare che l’integrità del sistema di gestione per la qualità sia mantenuta, quando vengono pianificate e attuate modifiche al sistema stesso.

All’art. 13 del regolamento Consob, in materia di Antiriciclaggio, è disposto che:

  1. La funzione di controllo di qualità, nell’ambito dei relativi programmi di monitoraggio, verifica l’osservanza delle disposizioni normative e delle procedure interne in materia di prevenzione e gestione dei rischi di riciclaggio e di finanziamento del terrorismo.
  2. In tale ambito, la funzione, tra l’altro, verifica:
    a) il costante rispetto dell’obbligo di adeguata verifica, sia nella fase di instaurazione del rapporto che nello svilupparsi nel tempo della prestazione professionale;
    b) l’effettiva acquisizione e l’ordinata conservazione dei dati, informazioni e documenti prescritti dalla normativa primaria e secondaria;
    c) l’effettivo svolgimento da parte del personale delle attività preordinate alla rilevazione, nell’ambito dell’esecuzione della prestazione professionale, di eventuali elementi di anomalia potenzialmente rilevanti ai fini dell’assolvimento dell’obbligo di segnalazione di operazioni sospette;
    d) l’adeguatezza e l’efficacia delle attività svolte dalla funzione antiriciclaggio e la funzionalità del complessivo sistema dei controlli interni.
  3. Gli interventi sono oggetto di pianificazione per consentire che le prestazioni professionali siano sottoposte a verifica in un congruo arco di tempo e che le iniziative siano più frequenti con riferimento agli incarichi caratterizzati da maggiore esposizione ai rischi di riciclaggio e di finanziamento del terrorismo.
  4. La funzione di controllo di qualità svolge altresì interventi di follow-up al fine di assicurarsi dell’avvenuta adozione degli interventi correttivi delle carenze e irregolarità riscontrate e della loro idoneità ad evitare analoghe situazioni nel futuro.
  5. Le verifiche svolte dalla funzione sono documentate e i relativi atti, ove richiesti, sono prontamente forniti alle Autorità di vigilanza di settore e alla UIF (Unità Interna Finanziaria).
  6. La funzione redige inoltre una relazione annuale da sottoporre agli organi sociali, avente ad oggetto compiute informazioni sull’attività svolta e sui relativi esiti.

Siffatta distinzione, nel rispetto delle peculiarità delle singole funzioni, rivela l’importanza dell’organigramma:

  1. aziendale, quale rappresentazione grafica della struttura organizzativa dell’azienda,
  2. per la Qualità, volto ad indentificare i diversi livelli e funzioni coinvolti nell’implementazione, applicazione e miglioramento continuo del Sistema di gestione,
  3. per l’Antiriciclaggio e Lotta al finanziamento del terrorismo, quale presidio organizzativo per i soggetti obbligati al rispetto del D. Lgs. 21 novembre 2007 n. 231 e successive modifiche ed integrazioni.

Qualora, diversamente, la funzione in commento, intesa in termini isoniani, rientrasse nell’ambito del Management Systems Department piuttosto che di una specifica funzione Qualità, il rischio di confusione dei compiti delle due figure verrebbe meno.
In questo caso, infatti, sarebbero più agevolmente distinguibili i diversi ruoli e compiti dei soggetti che, da differenti prospettive, si occupano di “controllo di qualità”.

Ti ricordo che:

  1. per una consulenza specifica in materia di Qualità e Antiriciclaggio,
  2. per un’assistenza personalizzata nell’applicazione della normativa cogente e di sistema,
  3. per un approccio puntuale nel raggiungimento dei tuoi obiettivi,

occorrono competenze trasversali e multidisciplinari.
Visita il mio sito http://www.colaianniconsulting.it e contattami, insieme faremo la differenza.

Marcello Colaianni
Compliance & Mgmt Systems Consultant/Auditor
Certified DPO e DP Auditor UNI11697
Qualified ISO 37001 Auditor

iI CONSULENTE prima del RECRUITING: come prepararsi alla gestione delle risorse umane

L’Organizzazione che cerca la persona giusta per uno specifico ruolo ha, ragionevolmente, le idee chiare sulla risorsa di cui ha bisogno in termini di conoscenze, competenze e abilità.

Altre volte, però, può rivelarsi utile, in attesa di inserire in azienda le più idonee professionalità, ricorrere al Consulente … il che non vuole essere un’alternativa.
I vantaggi che ne derivano possono superare le aspettative e, persino, rivelare all’Organizzazione che quel che cerca è già lì, nella sua struttura.

Cosa intendo dire?

Mi è capitato di assistere un’azienda in cui occorreva affiancare alla vecchia guardia nuove risorse che portassero innovazione, creatività ed un approccio trasversale al problem solving.
Così facendo si è scoperta, da una parte, l’inaspettata disponibilità e flessibilità, di alcuni, a riconvertirsi in nuovi ruoli e posizioni, dall’altra, un rinnovato orgoglio di appartenenza, un miglioramento del clima aziendale e nuove forme di business development.

Altrove, si presentava la necessità di riorganizzare le funzioni di staff allo scopo di evitare inutili sovrapposizioni e, insieme, di assicurarsi circa l’applicazione dei requisiti di cui alla normativa, cogente e volontaria, di riferimento per l’Organizzazione.
L’analisi delle risorse, dei loro curricula e dei loro desiderata, ha permesso di coniugare sapientemente le esigenze aziendali con gli obiettivi personali all’insegna di una nuova politica di valutazione, valorizzazione e formazione del personale.
La parte legal è stata fortemente coinvolta con l’introduzione della funzione Compliance e del Management Systems Department. La funzione Auditing ha esteso il proprio campo di azione. I ruoli ispettivi, come quello del DPO, sono stati internalizzati lasciando interamente a professionalità esterne la composizione dell’OdV. Anche la Comunicazione interna ha preso in carico la gestione di un nuovo house horgan con la pubblicazione della vita, in azienda, della casa madre e delle sue filiali.
A questa rivoluzione copernicana hanno concorso anche le nuove leve.
Il mio contributo è stato quello di Consulente piuttosto che di Business Coach a seconda dei momenti ed esigenze che andavano presentandosi … e non è finita qui.

In altre due situazioni, proprio in previsione di selezionare risorse adeguate, ho ricoperto il ruolo di Temporary manager, dapprima con il compito di sovrintendere, anche operativamente, ai compiti del Servizio di Prevenzione e Protezione e come referente per il Sistema integrato QSA (Qualità, Sicurezza e Ambiente); quindi, in qualità di Responsabile interno del Trattamento dei Dati Personali (RTDP) ex D. Lgs. 196/03, l’attuale Privacy manager.
Successivamente, dal ruolo di Consulente a quello di Mentore il passo è stato breve.

La conclusione è presto detta:
care Organizzazioni, siate fiduciose e ben disposte. Non sempre la soluzione è lontana. Potreste stupirvi e scoprire di avere a portata di mano la risposta alle vostre domande.

Marcello Colaianni
Business, Corporate & Executive Coach
Certified DPO, DP Auditor e ISDP 10003 Auditor

Compliance & Mgmt Systems Consultant/Auditor

 

 

“Persone autorizzate” e “Soggetti designati” nella protezione dei dati personali.

L’introduzione, nel novellato D. Lgs. 196/03, dell’art. 2-quaterdecies: Attribuzione di funzioni e compiti a soggetti designati integra il disposto di cui all’art. 29 del GDPR.
Dalla comparazione fra il Reg. UE 679/2016 ed il nuovo Codice Privacy si riscontrano, però, delle differenze che suggeriscono qualche chiarimento.

Art. 29/679: Trattamento sotto l’autorità del titolare del trattamento o del responsabile del trattamento:
Il responsabile del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del titolare del trattamento, che abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri.

Art. 2-quaterdecies/196: Attribuzione di funzioni e compiti a soggetti designati
Il titolare o il responsabile del trattamento possono prevedere, sotto la propria responsabilità e nell’ambito del proprio assetto organizzativo, che specifici compiti e funzioni connessi al trattamento di dati personali siano attribuiti a persone fisiche, espressamente designate, che operano sotto la loro autorità.
Il titolare o il responsabile del trattamento individuano le modalità più opportune per autorizzare al trattamento dei dati personali le persone che operano sotto la propria autorità diretta.

 Dal combinato disposto dei suddetti articoli emerge che:

  • all’art. 29 prevale l’elemento fondante delle istruzioni che devono essere fornite per poter trattare dati personali soprassedendo ad aspetti altrettanto fondamentali;
  • “chiunque” può essere, indifferentemente, una persona fisica o una persona giuridica quindi anche un soggetto diverso dal dipendente purché svolga le attività di trattamento sotto l’autorità del Titolare/Responsabile;
  • al contrario, nell’art. 2-quaterdecies, si parla specificatamente di persone fisiche;
  • il richiamo all’assetto organizzativo può riferirsi al coinvolgimento non solo di figure interne ma anche esterne all’insegna dell’adozione delle misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio; ciò coerentemente alla previsione dell’art. 29;
  • l’espressa designazione delle persone fisiche lascia ben intendere l’opportunità di una nomina scritta dei soggetti designati;
  • è data enfasi all’autorità del Titolare/Responsabile sotto la quale le persone autorizzate agiscono e i soggetti designati operano.

Il mio suggerimento è quindi quello di:

  • identificare i soggetti, interni ed esterni, che vengono autorizzati a trattare dati personali in virtù dei trattamenti a loro affidati;
  • identificare, per i soggetti interni, l’unità funzionale di appartenenza;
  • procedere ad una loro designazione scritta specificando i confini delle attività di trattamento autorizzate/affidate;
  • adottare misure di limitazione e contenimento dei margini di manovra dei suddetti soggetti;
  • fornire istruzioni puntuali e adhocratiche valutando differenti livelli di responsabilizzazione;
  • assicurarsi che tali istruzioni siano debitamente documentate.

Identificati i soggetti, occorre attivarsi con i dovuti crismi per la loro più appropriata definizione e organizzazione.

In questo senso, per esempio, il Contitolare, il Rappresentante ed il Responsabile del trattamento dei dati personali sono persone autorizzate, persone fisiche o giuridiche rientrando nell’accezione “chiunque” dell’art. 29. La loro disciplina, però, è specifica e riconducibile, rispettivamente, agli artt. 26, 27 e 28. Sono persone che possono, secondo esigenza, trovarsi inseriti o meno nell’organigramma aziendale.

Qualche esempio?

  • L’Organismo di Vigilanza è un Responsabile del trattamento (RTDP) a cui il Titolare ricorre dovendo effettuare per suo conto specifici trattamenti.
    Il Titolare è chiamato obbligatoriamente, per legge, a ricorrere all’OdV per lo svolgimento di trattamenti specifici, in adempimento al D. Lgs. 231/01.
    Trattamenti per i quali il Titolare determina finalità e mezzi pur rimanendo, in capo all’OdV, gli autonomi poteri di iniziativa e controllo, di vigilanza sul funzionamento e l’osservanza dei modelli e del loro aggiornamento.
    È un Responsabile interno perché trattasi di un organismo dell’ente.
  • Il Collegio sindacale è, allo stesso modo, un Responsabile al quale il Titolare ricorre, anche in questo caso, per obbligo di legge. È però esterno, fuori dall’assetto organizzativo.
  • Lo studio di consulenza del lavoro è Responsabile esterno perché a lui ricorre il Titolare per il trattamento la gestione delle paghe dei propri dipendenti. Il Titolare, volendo, potrebbe gestire in proprio tali trattamenti ma preferisce concentrarsi sul proprio core business e ricorrere all’outsourcing.
  • il DPO, è persona autorizzata rivelandosi, secondo i chiarimenti del Garante, sia persona fisica sia persona giuridica. Il suo ruolo è però specificatamente disciplinato dagli artt. 37 a 39.

Focalizzando l’attenzione sulle singole funzioni del Titolare (Azienda, Studio professionale, Associazione, Ente, ecc.) lo sguardo è sicuramente rivolto alle persone fisiche, agli individui che, in virtù dei compiti svolti, sono riconducibili ai soggetti designati.

Vi si riscontrano le seguenti figure:

  • il Privacy manager, che chiamato ad adeguare l’organizzazione ai requisiti della normativa sulla protezione dei dati personali, è soggetto designato in staff al Direttore generale;
  • l’amministratore di sistema, che amministra i componenti del sistema ICT per soddisfare i requisiti del servizio, è soggetto designato;
  • il Direttore del personale, così come i suoi collaboratori che trattano dati personali, è soggetto designato
  • e così via.

Per quanto sopra risulta evidente, quindi, l’importanza di porre la dovuta attenzione nell’individuazione di tutti i soggetti, dentro e fuori l’Organizzazione (Titolare), in qualità di persone autorizzate ovvero di soggetti designati, e dare così evidenza delle modalità organizzative nella distribuzione di ruoli e responsabilità all’insegna del principio generale e fondante di ACCOUNTABILITY soddisfacendo una delle principali azioni da intraprendere qual è la progettazione dell’organigramma per la data protection.

Marcello Colaianni
Certified DPO e DP Auditor UNI 11697

Certified DP Auditor ISDP 10003:2018 Scheme
Compliance & Management Systems Consultant/Auditor

L’istituto della Certificazione in Svizzera alla luce del GDPR e della Legge federale sulla protezione dei dati (LPD).

La Svizzera non è Stato membro dell’Unione Europea cionondimeno l’osservanza del Regolamento UE 679/2016 (GDPR) trova applicazione anche qui, sia pur in determinate circostanze. In particolare nelle ipotesi in cui le attività di trattamento:

  1. siano riconducibili alla filiale dell’impresa svizzera che si trovi all’interno dell’Unione europea;
  2. riguardino l’offerta di beni o la prestazione di servizi agli interessati che si trovino nell’Unione, indipendentemente dall’obbligatorietà di un pagamento dell’interessato;
  3. riguardino il monitoraggio del comportamento degli interessati nella misura in cui tale comportamento ha luogo all’interno dell’Unione;
  4. siano riconducibili all’impresa svizzera che assume il ruolo di Responsabile del trattamento, per un’impresa europea, nello svolgimento delle attività di cui al punto “2.”

Per quanto in  premessa, in sede di applicazione del GDPR, le imprese svizzere possono essere interessate alla certificazione per la protezione dei dati personali con riferimento alle proprie attività di trattamento.
Certificazione già contemplata dalla Legge federale sulla Protezione dei Dati – LPD (235.1 del 19/6/1992) che, all’art. 11: Procedura di certificazione, dispone:

  1. <<Per migliorare la protezione e la sicurezza dei dati, i fornitori di sistemi e di programmi di trattamento dei dati, nonché le persone private o gli organi federali che trattano dati personali possono sottoporre i loro sistemi, le loro procedure e la loro organizzazione a una valutazione da parte di organismi di certificazione riconosciuti e indipendenti>>.
  2. <<Il Consiglio federale emana disposizioni sul riconoscimento delle procedure di certificazione e sull’introduzione di un marchio di qualità inerente alla protezione dei dati. Esso tiene conto del diritto internazionale e delle norme tecniche riconosciute a livello internazionale>>.

Ma è la lettura del Messaggio – concernente la revisione della legge federale sulla protezione dei dati (LPD) e il decreto federale concernente l’adesione della Svizzera al Protocollo aggiuntivo dell’8 novembre 2001 alla Convenzione per la protezione delle persone in relazione all’elaborazione automatica dei dati a carattere personale concernente le autorità di controllo e i flussi internazionali di dati – del 19 febbraio 2003 a fornire utili ed ulteriori specificazioni:

  • 2.10 – Art. 11: Procedura di certificazione
    “(…)
  • Devono essere sviluppate sia procedure di certificazione di processi operativi rilevanti per la protezione di dati o di strutture organizzative (audit in materia di protezione di dati) sia la valutazione di sistemi o programmi informatici – cioè di prodotti – per quanto riguarda l’osservanza di standard in materia di protezione di dati.

Dal che emerge che ciò di cui si sta parlando è una certificazione di prodotti, processi e servizi fondata sulla norma UNI CEI EN ISO/IEC 17065: Valutazione della conformità – Requisiti per organismi che certificano prodotti, processi e servizi.

  • La procedura di valutazione deve portare, una volta stabilito che le norme legali e tecniche del ramo sono osservate, al conferimento di un marchio di qualità inerente alla protezione di dati. Questo riconoscimento può essere utilizzato dalle ditte di certificazione per scopi pubblicitari e portato a conoscenza del pubblico. Le autorità e ditte certificate sono escluse dall’obbligo di notifica della loro raccolta di dati di cui all’articolo 11a, se hanno comunicato il risultato della valutazione all’Incaricato della protezione dei dati. Questo alleggerimento ha lo scopo di incentivare.

Il conseguimento della certificazione consente quindi ampia pubblicità circa l’assicurazione sull’idoneità, correttezza ed adeguatezza delle proprie attività di trattamento e disimpegna le ditte certificate dall’obbligo di notifica.

  • Gli organismi che svolgono questa procedura di certificazione devono essere indipendenti, dal punto di vista soprattutto organizzativo ma anche tecnico, dai privati o dalle autorità da valutare. Il riconoscimento di questi organismi dovrà essere regolato dal Consiglio federale nell’ordinanza. È anche immaginabile che gli organismi di certificazione debbano disporre di un accreditamento.
    Inoltre l’Incaricato deve verificare se le procedure di valutazione e il conferimento del marchio di qualità sono compatibili con il diritto vigente. Egli può intervenire mediante gli strumenti previsti dalla LPD (raccomandazione, proposta alla commissione della protezione dei dati).

Ora, pur considerato che in Svizzera è in elaborazione uno standard per procedure uniformi in materia di certificazioni inerenti alla protezione di dati, può essere utile sapere che esiste già, sul mercato, un meccanismo di certificazione conforme al GDPR, accreditato Accredia, e promosso dalla Commissione europea: l’International Scheme for Data Protection ISDP 10003:2018.

Il ricorso ad un siffatto meccanismo di certificazione che, di per sé, fornisce già una molteplicità di assicurazioni e garanzie, può essere strumento chiarificatore dello stato dell’arte in Svizzera e, forse, valido suggerimento per gli obiettivi che la Confederazione elvetica vuole raggiungere.

Qui, infatti, il riferimento alla certificazione si fonda:

  • sull’art. 11 della Legge federale sulla protezione dei dati,
  • sull’Ordinanza  sulle certificazioni in materia di protezione dei dati (OCPD) che, aggiornato al 1° novembre 2016, richiama le norme UNI EN ISO 9001: Sistemi di gestione per la qualità – Requisiti e UNI CEI ISO/IEC 27001: Tecnologie informatiche – Tecniche per la sicurezza – Sistemi di gestione per la sicurezza delle informazioni – Requisiti ed altre ordinanze.

Inoltre, nel documento riepilogativo circa lo stato della certificazione di prodotti e servizi si legge: “Dalla discussione è emerso che per il mercato svizzero una certificazione di prodotti informatici (hardware, software o sistemi per l’elaborazione automatizzata dei dati) è improponibile per ragioni giuridiche, tecniche e finanziarie. Diversi partecipanti al gruppo di lavoro hanno però chiesto di introdurre una certificazione dei servizi”.

L’art. 5 della suddetta ordinanza (RS 235.13), tuttavia, fa riferimento alla Certificazione dei prodotti e più precisamente alla certificazione dei prodotti destinati in prevalenza al trattamento di dati personali o generanti, al momento del loro impiego, dati personali, in particolare relativi all’utente rilevando l’effettiva mancanza circa la normazione di una certificazione dei servizi.

Orbene, un piccolo richiamo alle norme ISO torna utile.
Nell’alveo delle norme ISO di Valutazione della conformità si riconoscono:

  • la norma ISO 17020:2012: Requisiti per il funzionamento di vari tipi di organismi che eseguono ispezioni;
  • la norma ISO 17021:2012: Requisiti per gli organismi che forniscono audit e certificazione di sistemi di gestione;
  • la norma ISO 17024:2012: Requisiti generali per organismi che eseguono la certificazione delle persone;
  • la norma ISO 17025:2018: Requisiti generali per la competenza dei laboratori di prova e di taratura e
  • la norma ISO 17065:2012: Requisiti per organismi che certificano prodotti, processi e servizi.

È proprio quest’ultima, la ISO 17065, a fare al nostro caso.

La norma in discorso, infatti, non è quella fondante su cui si basano gli organismi per la certificazione di un sistema di gestione aziendale ma è quella di accreditamento degli organismi che certificano processi, prodotti e servizi.
É quella richiamata nel GDPR, il regolamento 679/2016, a cui le imprese svizzere devono adeguarsi in presenza delle considerazioni in premessa; è la norma:

  • per la certificazione dei prodotti di cui all’art. 5 dell’ordinanza di RS 235.13,
  • per la certificazione di processi operativi rilevanti per la protezione di dati (v- § 2.10 – Art. 11: Procedura di certificazione Messaggio del 19/2/2003 di revisione della LPD).

In conclusione:
fatto salvo il rispetto delle leggi della Confederazione elvetica, cantonali nonché, in presenza di presupposti, del Regolamento UE 679/2016:

  • la certificazione di prodotti, processi e servizi, di cui alla normativa richiamata, viene soddisfatta se effettuata da un organismo di certificazione accreditato in conformità alla ISO 17065. A questi presupposti è sicuramente allineato lo schema ISDP 10003 di Inveo Srl.
  • la certificazione di sistemi, procedure e dell’organizzazione dei fornitori e delle persone private, di cui all’art. 11 della LPD, se non soddisfatta come sopra, deve necessariamente avvenire in conformità a una o più norme fondate sulla ISO 17021 ovvero sulla norma di accreditamento degli organismi che forniscono certificazioni di sistemi di gestione.

In questo caso, però,  è utile che le direttive emanate dall’incaricato – sui requisiti minimi che un sistema di gestione della protezione dei dati deve adempiere – non si limitino a richiamare la ISO 9001 e la ISO 27001 estendendosi, per esempio, alla linea guida BS 10012:2017: Data protection – Specification for a personal information management system e alla ISO 27552 dal titolo “Security techniques – Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management –  Requirements and guidelines” che, pur rientrando fra le norme della famiglia ISO 27000 riguardanti la sicurezza delle informazioni sembra estendere il proprio campo di applicazione agli aspetti inerenti la gestione dei dati personali.

Marcello Colaianni
Certified DPO e DP Auditor UNI 11697

Certified DP Auditor ISDP 10003:2018 Scheme
Compliance & Management Systems Consultant

 

I Conflitti d’interesse del Responsabile della protezione dei dati (RPD/DPO)

Il presente articolo propone una chiave di lettura un po’ diversa e meno perentoria rispetto a quello dal titolo: <<DPO e Responsabile del trattamento: 2 facce della stessa medaglia?>> pubblicato il 28 dicembre 2018.
L’esigenza di soffermarsi su altre considerazioni è emersa dirompente alla luce delle esigenze manifestate a gran voce da diversi Titolari e Responsabili miei clienti e da situazioni che mi trovo, professionalmente, a constatare quasi quotidianamente.

Resta valido il ragionamento per il quale il Titolare (ed il Responsabile) si assicura che eventuali altri compiti e funzioni svolte dal DPO non diano adito a un conflitto di interessi.
Le linee guida dell’Articolo 29 Data Protection Working Party si sono già bene espresse sull’opportunità di evitare possibili situazioni di conflitto d’interesse, dentro l’organizzazione – riguardo a ruoli manageriali di vertice (amministratore delegato, responsabile operativo, responsabile finanziario, responsabile sanitario, direzione marketing, direzione risorse umane, responsabile IT), ma anche rispetto a posizioni gerarchicamente inferiori se queste ultime comportano la determinazione di finalità o mezzi del trattamento – e anche in ipotesi di nomina di un DPO esterno al quale si chieda di rappresentare il titolare o il responsabile in un giudizio che tocchi problematiche di protezione dei dati.
Qui, il DPO avvocato non può, evidentemente, rappresentare in giudizio il proprio Titolare.

Se con riferimento alla designazione interna l’orientamento è piuttosto chiaro, l’eventuale nomina esterna del DPO suggerisce di valutare ogni singolo caso per l’oggettivo, e soggettivo, rischio di porre in essere un conflitto d’interessi il che porta all’inevitabile conseguenza di soprassedere all’assunzione del ruolo in discorso.

Assunto che il conflitto di interessi è quella condizione giuridica che si verifica quando viene affidata un’alta responsabilità decisionale a un soggetto che ha interessi personali o professionali in contrasto con l’imparzialità richiesta da tale responsabilità, che può venire meno a causa degli interessi in causa, l’analisi del singolo caso può, nel rispetto dei requisiti di legge, portare ad alcune considerazioni piuttosto interessanti.

Per esempio: il consulente in materia di sicurezza sul lavoro, indubbiamente, effettua trattamenti di dati personali. Per questi motivi viene nominato Responsabile esterno per i dati del Titolare trattati specificatamente in ottemperanza all’oggetto del relativo contratto di consulenza.
È anche vero che nel contratto di nomina del consulente a RTDP, è il Titolare che impartisce istruzioni scritte sulle condizioni e modalità di trattamento dei propri dati nell’espletamento della consulenza; ciò conformemente al dettato ex art. 28/679/2016.
Non è il Consulente ad avere un ruolo che comporti la definizione delle finalità o modalità del trattamento di dati personali.

La domanda da porsi, a questo punto è: <<qual è il conflitto d’interessi che si pone, per la protezione dei dati personali, laddove il consulente in materia di sicurezza sul lavoro venga designato DPO?>> Naturalmente in presenza delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all’articolo 39.

Ricordiamo ancora che il responsabile della protezione dei dati può svolgere altri compiti e funzioni … e, per le riflessioni che seguono, non si può affermare, tout court, che il controllore controlli il controllato.
Allo stesso modo non vi è alcun divieto, nel regolamento, a che un Responsabile possa ricoprire il ruolo di DPO.

Ogni situazione va analizzata caso per caso.
La raccomandazione delle linee guida dell’Articolo 29 DPWP di adottare procedure per:

  • individuare le qualifiche e funzioni che sarebbero incompatibili con quella di RPD;
  • redigere regole interne a tale scopo onde evitare conflitti di interessi;
  • prevedere un’illustrazione più articolata dei casi di conflitto di interessi;
  • dichiarare che il RPD non versa in alcuna situazione di conflitto di interessi con riguardo alle funzioni di RPD, al fine di sensibilizzare rispetto al requisito in questione;
  • prevedere specifiche garanzie nelle regole interne e fare in modo che nel segnalare la disponibilità di una posizione lavorativa quale RPD ovvero nel redigere il contratto di servizi si utilizzino formulazioni sufficientemente precise e dettagliate così da prevenire conflitti di interessi

è sicuramente utile nel dare enfasi ed evidenza dell’assenza di (rischi di) conflitti d’interesse come nell’esemplificazione considerata.

Il DPO, come sopra nominato, è vero, ha interessi professionali presso il Titolare; è infatti consulente per la sicurezza sul lavoro. Ma l’imparzialità richiesta al DPO può in qualche modo essere compromessa dal fatto che questi sia un Responsabile? Dal fatto che sia un consulente, non in materia di protezione dei dati personali ma di sicurezza sul lavoro?
Alla lettera “h)”, § 3 dell’art. 28/679/2016 è scritto che il Responsabile deve (…) consentire e contribuire alle attività di revisione, comprese le ispezioni, realizzate dal titolare del trattamento o da un altro soggetto da questi incaricato.
Bene. Sarà direttamente il Titolare, o altro soggetto da questi incaricato, che si assicurerà circa il rispetto degli obblighi previsti da parte del consulente.
Non sarà certo coinvolto il DPO/Consulente a controllare se stesso quanto, piuttosto, un organismo indipendente di terza parte che potrà esprimersi circa l’appropriatezza dei comportamenti assunti dal consulente sia in qualità di Responsabile sia in quella di DPO.

La suddetta esemplificazione lascia quindi ben intendere che non si può generalizzare e lasciare insoddisfatte aprioristicamente esigenze organizzative che, in realtà, si rivelano non solo appropriate ma persino opportune.

Con ben in mente la suddetta definizione di conflitto d’interessi, questo si pone, ragionevolmente, se:

  1. il nostro Responsabile fosse consulente in materia di protezione di dati personali e non di sicurezza sul lavoro. Come potrebbe il DPO controllare l’operato del Titolare quando questi agisce assecondando le sue stesse indicazioni?
  2. il Titolare è assistito dallo studio legale (o dalla società di consulenza), in sede di applicazione ed osservanza dei requisiti della normativa privacy e ad assumere il ruolo di DPO è uno degli avvocati o altri soggetti (ovvero un dipendente della società) che ivi lavorano. Con quale autorevolezza ed imparzialità il DPO si relaziona con il Titolare per dirgli cosa va o non va nel modello di adeguamento al GDPR predisposto dallo stesso studio legale (società di consulenza) con cui e/o per cui lavora?
  3. il consulente informatico che assiste il Titolare per gli aspetti ICT, latu sensu, fosse designato DPO. Questi può oggettivamente ritenersi del tutto “estraneo” al trattamento dei dati personali ed in condizioni, quindi, di garantire l’imparzialità e l’indipendenza che è richiesta al Responsabile per la protezione dei dati? Secondo me, no.

Nei tre casi considerati, a titolo esemplificativo, sia il consulente privacy che quello informatico così come lo studio legale vanno nominati Responsabili esterni del trattamento ex art. 28/679/2016 in quanto ad essi il Titolare ricorre per trattamenti effettuati per suo conto, ma a determinare il conflitto d’interessi non è la nomina a Responsabili bensì il tipo di attività che sottende la relazione con il Titolare.

Il ragionamento da fare è un po’ quello per la composizione dell’Organismo di Vigilanza (OdV).
Il Responsabile del servizio di prevenzione e protezione (RSPP) piuttosto che il consulente del sistema di gestione ambientale e persino i sindaci nelle società di capitale, a dispetto del disposto ex art. 6/231/2001 c. 4-bis, non possono – de facto – far parte dell’OdV in presenza di conflitto d’interessi in quanto:

  • l’RSPP, membro dell’OdV, si ritroverebbe a controllare il proprio operato con riferimento all’osservanza della normativa sulla sicurezza sul lavoro la cui materia è contemplata fra i rischi reato 231;
  • il consulente ambientale, allo stesso modo, si ritroverebbe a verificare l’appropriatezza dei consigli formulati all’Organizzazione, in conformità al D. Lgs. 152/2006 e smi ed alla UNI EN ISO 14001;
  • il sindaco, infine, quale membro dell’organismo si ritroverebbe a controllare aspetti strettamente connessi alla propria attività oggetto, a loro volta, delle verifiche dell’OdV.

Né può essere membro dell’Organismo il DPO, o il consulente privacy. Come potrebbe, questi, controllare la correttezza delle azioni intraprese dovendo verificare eventuali rischi reato riguardanti i Delitti informatici ed il trattamento illecito di dati?

Ecco, queste situazioni sono del tutto assimilabili a quelle più sopra riportate; situazioni nelle quali la figura di controllore e controllato pongono sì, in essere, un evidente conflitto d’interessi.

Marcello Colaianni
Compliance & Management Systems Consultant/Auditor
Certified DPO  e DP Auditor UNI 11697
Certified DP Auditor ISDP 10003:2018 Scheme

 

 

DPO e RESPONSABILE del trattamento: 2 facce della stessa medaglia?

Ad oltre 2 anni dall’entrata in vigore del GDPR, restano di estrema attualità le riflessioni con cui, in adempimento ai requisiti ex art. 37, § 1, lett. a), b) e c), viene designato il Responsabile della Protezione dei Dati (RPD) ovvero il DPO.

Il Regolamento è perentorio ed individua il DPO in colui che:

  1. ha idonee qualità professionali,
  2. ha la conoscenza specialistica della normativa
  3. ha la conoscenza specialistica delle prassi in materia di protezione dei dati,
  4. ha la capacità di assolvere i compiti di cui all’articolo 39
  5. può svolgere altri compiti e funzioni purché questi non diano adito a conflitti d’interessi del che è garante il Titolare/Responsabile del trattamento

il che non dovrebbe lasciare dubbi a riguardo.

Tuttavia, qualunque sia il motivo, a prevalere è la volontà di concentrare ruoli e funzioni in capo al minor numero possibile di persone supportati, oltre ogni ragionevolezza, della possibilità di svolgimento di altri compiti e funzioni a dispetto di eventuali conflitti d’interesse.
Ecco allora che troviamo il consulente, il giurista, l’esperto informatico o il risk manager avocare a sé sia il ruolo di Responsabile esterno del trattamento, in quanto gestore del trattamento dei dati del Titolare, sia, all’occorrenza, quello del DPO.

Le linee guida del EDPB forniscono chiare indicazioni raccomandando di evitare che il DPO designato ricopra ruoli di vertice (es. amministratore delegato, responsabile operativo, responsabile finanziario, responsabile sanitario, responsabile marketing, responsabile IT, direzione risorse umane) o posizioni gerarchicamente inferiori se quest’ultime comportano la determinazione di finalità o mezzi di trattamento. Qui, tuttavia, la fattispecie contrasta comunque con la previsione della designazione del DPO da parte del vertice del Titolare nonché dei presupposti di autonomia ed indipendenza.
In ipotesi di ricorso all’esterno del DPO il conflitto di interessi può poi manifestarsi laddove questi si ritrovi a ricoprire il ruolo di Responsabile o Con-titolare in qualità di, per esempio, RSPP, membro dell’OdV o dell’OdV monocratico, membro del Collegio sindacale, ecc.

Dati questi presupposti, l’orientamento sembra essere quello di evitare la designazione del DPO in capo a soggetti, interni o esterni, che in virtù delle funzioni già ricoperte trattano, a vario titolo, dati personali del Titolare.

MA le linee guida non sono fonti del diritto!

Quindi, è sufficiente che il Titolare/Responsabile afferma che non vi è conflitto d’interessi fra i compiti del DPO e gli altri compiti e funzioni?
No, occorre anche dimostrarlo in maniera inequivocabile!

Esiste un punto molto chiaro nel Regolamento che palesa l’esistenza di un conflitto d’interessi fra i 2 ruoli. Alla lettera h) dell’art. 28 che prescrive che il Responsabile del trattamento mette a disposizione del titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui al presente articolo e consenta e contribuisca alle attività di revisione, comprese le ispezioni, realizzati dal titolare del trattamento o da un altro soggetto da questi incaricato evidenziando l’impossibilità che controllore e controllato siano la stessa persona.
Insomma, c’è chi fa e c’è chi controlla!

È presto fatto: per le ispezioni al Responsabile/DPO si ricorre a un auditor interno o, meglio, ad un’organizzazione indipendente esterna evitando così che il Responsabile/DPO possa trovarsi contemporaneamente nella duplice posizione di controllore (come DPO) e di controllato (come Responsabile del trattamento).
Bah, mi sembra un comportamento elusivo e fine a se stesso.

Mi trovo costretto a perorare la mia causa: <<Responsabile e DPO sono funzioni in conflitto d’interessi!>>. Perché, fra l’altro:

  • sono normativamente inquadrati come soggetti fra loro in antitesi;
  • il Responsabile mette in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del regolamento e garantisca la tutela dei diritti dell’interessato;
  • il DPO sorveglia a che siano soddisfatti i requisiti del regolamento e messe in atto le azioni necessarie volte a tutelare i diritti dell’interessato;
  • il Responsabile tratta i dati personali soltanto su istruzione documentata del titolare del trattamento;
  • il DPO svolge i suoi compiti in assoluta assenza di istruzioni, in piena autonomia ed indipendenza.

A porre la dovuta attenzione, da parte del Titolare, circa la più idonea ed appropriata applicazione dei requisiti del GDPR è l’art. 24, 1° paragrafo che contempla, per il Titolare, la messa in atto di misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al regolamento tenuto conto (…) dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche.

Fra le misure tecniche e organizzative da considerare, fin dalla progettazione, c’è quindi l’elaborazione di un chiaro organigramma per la data protection, l’individuazione dei singoli ruoli e responsabilità, all’insegna del principio di accountability su cui si basa l’intero regolamento, nonché dei compiti e funzioni che possono avere diversi livelli di probabilità, di essere fra loro in conflitto, ed altrettanti livelli di gravità ovvero di entità del danno che ne può conseguire.
Un’analisi superficiale delle condizioni di conflitto di interesse potrebbe determinare, in capo al Titolare/Responsabile, una culpa in eligendo con il rischio di disconoscimento del DPO e l’irrogazione di sanzioni pecuniarie per la sua conseguente mancata designazione.

Tutto ciò premesso, qualunque sia il risultato della valutazione di questa fattispecie di rischio, è evidente quanto sia utile, opportuno e doveroso tenere, da subito, separati i compiti e le aree di responsabilità in conflitto fra loro per ridurre al minimo le possibilità di trattamento illecito/irregolare degli asset dell’organizzazione quali sono i dati personali.

Marcello Colaianni
Certified DPO UNI11697
Certified DP Auditor ISDP10003 Scheme
Valutatore Privacy Certificato UNI11697

 

Il DPO è un AUDITOR!

L’art. 39 ci ricorda quali sono i compiti primari del DPO.

Fra questi, quello dell’Auditor, ovvero il compito di sorvegliare l’osservanza del regolamento, di altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo è sicuramente l’attività che in maggior misura impegna il DPO.

Egli esamina il trattamento di dati personali, valutando il rispetto di leggi e regolamenti applicabili e approva le misure necessarie a eliminare eventuali non-conformità rilevate, mantenendo una posizione indipendente da chi svolge attività manageriali e operative.

Per quanto sopra si evince che la conoscenza della normativa e la capacità di darle la più appropriata interpretazione nella sua applicazione in seno a ciascun Titolare/Responsabile è una prerogativa … che da sola, però, si rivela incompleta.

Essere un auditor significa avere, prima di tutto, specifiche competenze circa le modalità di conduzione degli audit.

Considerato il riferimento ai meccanismi di certificazione ex articoli 42 e 43 del GDPR, il ricorso a norme ISO internazionalmente validate, come la UNI EN ISO 19011 o la UNI EN ISO 17021-1 o la UNI ISO 31000, è logico, conseguenziale ed oltremodo coerente alla citata norma EN-ISO/IEC 17065/2012 a cui devono fare obbligatoriamente riferimento gli organismi di certificazione.

Nella fattispecie lo schema ISDP10003:2018, accreditato ACCREDIA e nominativamente richiamato in alcuni bandi di gara, fornisce chiare indicazioni proprio in merito a politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo …
… Attività di controllo per le quali l’Auditor può avvalersi di specialisti, ovvero dei cosiddetti esperti tecnici in ambito informatico, tecnologico, giuridico o organizzativo nella conduzione degli audit.

Il ricorso alle ulteriori professionalità cui può accedere il DPO, come previsto all’art. 38, va tuttavia circoscritto.
È poco professionale che il DPO si avvali di terzi soggetti quando interloquisce direttamente con il Titolare nell’esplicitazione dei punti della norma; è utile che ne sia adeguatamente e personalmente edotto.
Parimenti dicasi in ipotesi di delega delle attività di formazione e consulenza.
E ancora, laddove venga consultato nella Valutazione dei rischi o d’impatto, ricorrere ad altri ne sminuisce sia la figura sia il ruolo.

Ne consegue che il DPO debba essere personalmente autosufficiente almeno con riferimento alla normativa relativa alla protezione dei dati e agli aspetti di risk management su cui si basa la Valutazione dei rischi così come quella d’Impatto.
Attendersi questo quale requisito implicito dal Titolare del trattamento è assolutamente ragionevole.

È vero, il DPO non è un tuttologo né può esserlo ed allora trova giustificazione, per esempio, il ricorso agli esperti di cyber security.

Quello che è certo, dato anche il suo posizionamento in organigramma, sono le relazioni che pone quotidianamente in essere con le altre funzioni aziendali, oltre che con gli interessati e l’autorità di controllo.
Il suo contributo, fra l’altro, nell’assegnazione o verifica delle responsabilità e competenze al personale gli attribuiscono capacità di osservazione, sensibilità e discernimento.

Si comprende allora l’importanza di quelle abilità volte ad esaltarne gli effetti.
Abilità come la capacità di lavorare in gruppo, di analisi e di sintesi nonché l’assunzione di comportamenti idonei come l’essere di mentalità aperta e flessibile, diplomatici ed insieme tenaci e perseveranti, collaborativi ed in grado di agire con fermezza, sicuri di sé e aperti al miglioramento.

Marcello Colaianni
Certified DPO UNI11697
Valutatore Privacy certificato UNI11697
Certified DP Auditor ISDP10003:2018 scheme