I Conflitti d’interesse del Responsabile della protezione dei dati (RPD/DPO)

Il presente articolo propone una chiave di lettura un po’ diversa e meno perentoria rispetto a quello dal titolo: <<DPO e Responsabile del trattamento: 2 facce della stessa medaglia?>> pubblicato il 28 dicembre 2018.
L’esigenza di soffermarsi su altre considerazioni è emersa dirompente alla luce delle esigenze manifestate a gran voce da diversi Titolari e Responsabili miei clienti e da situazioni che mi trovo, professionalmente, a constatare quasi quotidianamente.

Resta valido il ragionamento per il quale il Titolare (ed il Responsabile) si assicura che eventuali altri compiti e funzioni svolte dal DPO non diano adito a un conflitto di interessi.
Le linee guida dell’Articolo 29 Data Protection Working Party si sono già bene espresse sull’opportunità di evitare possibili situazioni di conflitto d’interesse, dentro l’organizzazione – riguardo a ruoli manageriali di vertice (amministratore delegato, responsabile operativo, responsabile finanziario, responsabile sanitario, direzione marketing, direzione risorse umane, responsabile IT), ma anche rispetto a posizioni gerarchicamente inferiori se queste ultime comportano la determinazione di finalità o mezzi del trattamento – e anche in ipotesi di nomina di un DPO esterno al quale si chieda di rappresentare il titolare o il responsabile in un giudizio che tocchi problematiche di protezione dei dati.
Qui, il DPO avvocato non può, evidentemente, rappresentare in giudizio il proprio Titolare.

Se con riferimento alla designazione interna l’orientamento è piuttosto chiaro, l’eventuale nomina esterna del DPO suggerisce di valutare ogni singolo caso per l’oggettivo, e soggettivo, rischio di porre in essere un conflitto d’interessi il che porta all’inevitabile conseguenza di soprassedere all’assunzione del ruolo in discorso.

Assunto che il conflitto di interessi è quella condizione giuridica che si verifica quando viene affidata un’alta responsabilità decisionale a un soggetto che ha interessi personali o professionali in contrasto con l’imparzialità richiesta da tale responsabilità, che può venire meno a causa degli interessi in causa, l’analisi del singolo caso può, nel rispetto dei requisiti di legge, portare ad alcune considerazioni piuttosto interessanti.

Per esempio: il consulente in materia di sicurezza sul lavoro, indubbiamente, effettua trattamenti di dati personali. Per questi motivi viene nominato Responsabile esterno per i dati del Titolare trattati specificatamente in ottemperanza all’oggetto del relativo contratto di consulenza.
È anche vero che nel contratto di nomina del consulente a RTDP, è il Titolare che impartisce istruzioni scritte sulle condizioni e modalità di trattamento dei propri dati nell’espletamento della consulenza; ciò conformemente al dettato ex art. 28/679/2016.
Non è il Consulente ad avere un ruolo che comporti la definizione delle finalità o modalità del trattamento di dati personali.

La domanda da porsi, a questo punto è: <<qual è il conflitto d’interessi che si pone, per la protezione dei dati personali, laddove il consulente in materia di sicurezza sul lavoro venga designato DPO?>> Naturalmente in presenza delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all’articolo 39.

Ricordiamo ancora che il responsabile della protezione dei dati può svolgere altri compiti e funzioni … e, per le riflessioni che seguono, non si può affermare, tout court, che il controllore controlli il controllato.
Allo stesso modo non vi è alcun divieto, nel regolamento, a che un Responsabile possa ricoprire il ruolo di DPO.

Ogni situazione va analizzata caso per caso.
La raccomandazione delle linee guida dell’Articolo 29 DPWP di adottare procedure per:

  • individuare le qualifiche e funzioni che sarebbero incompatibili con quella di RPD;
  • redigere regole interne a tale scopo onde evitare conflitti di interessi;
  • prevedere un’illustrazione più articolata dei casi di conflitto di interessi;
  • dichiarare che il RPD non versa in alcuna situazione di conflitto di interessi con riguardo alle funzioni di RPD, al fine di sensibilizzare rispetto al requisito in questione;
  • prevedere specifiche garanzie nelle regole interne e fare in modo che nel segnalare la disponibilità di una posizione lavorativa quale RPD ovvero nel redigere il contratto di servizi si utilizzino formulazioni sufficientemente precise e dettagliate così da prevenire conflitti di interessi

è sicuramente utile nel dare enfasi ed evidenza dell’assenza di (rischi di) conflitti d’interesse come nell’esemplificazione considerata.

Il DPO, come sopra nominato, è vero, ha interessi professionali presso il Titolare; è infatti consulente per la sicurezza sul lavoro. Ma l’imparzialità richiesta al DPO può in qualche modo essere compromessa dal fatto che questi sia un Responsabile? Dal fatto che sia un consulente, non in materia di protezione dei dati personali ma di sicurezza sul lavoro?
Alla lettera “h)”, § 3 dell’art. 28/679/2016 è scritto che il Responsabile deve (…) consentire e contribuire alle attività di revisione, comprese le ispezioni, realizzate dal titolare del trattamento o da un altro soggetto da questi incaricato.
Bene. Sarà direttamente il Titolare, o altro soggetto da questi incaricato, che si assicurerà circa il rispetto degli obblighi previsti da parte del consulente.
Non sarà certo coinvolto il DPO/Consulente a controllare se stesso quanto, piuttosto, un organismo indipendente di terza parte che potrà esprimersi circa l’appropriatezza dei comportamenti assunti dal consulente sia in qualità di Responsabile sia in quella di DPO.

La suddetta esemplificazione lascia quindi ben intendere che non si può generalizzare e lasciare insoddisfatte aprioristicamente esigenze organizzative che, in realtà, si rivelano non solo appropriate ma persino opportune.

Con ben in mente la suddetta definizione di conflitto d’interessi, questo si pone, ragionevolmente, se:

  1. il nostro Responsabile fosse consulente in materia di protezione di dati personali e non di sicurezza sul lavoro. Come potrebbe il DPO controllare l’operato del Titolare quando questi agisce assecondando le sue stesse indicazioni?
  2. il Titolare è assistito dallo studio legale (o dalla società di consulenza), in sede di applicazione ed osservanza dei requisiti della normativa privacy e ad assumere il ruolo di DPO è uno degli avvocati o altri soggetti (ovvero un dipendente della società) che ivi lavorano. Con quale autorevolezza ed imparzialità il DPO si relaziona con il Titolare per dirgli cosa va o non va nel modello di adeguamento al GDPR predisposto dallo stesso studio legale (società di consulenza) con cui e/o per cui lavora?
  3. il consulente informatico che assiste il Titolare per gli aspetti ICT, latu sensu, fosse designato DPO. Questi può oggettivamente ritenersi del tutto “estraneo” al trattamento dei dati personali ed in condizioni, quindi, di garantire l’imparzialità e l’indipendenza che è richiesta al Responsabile per la protezione dei dati? Secondo me, no.

Nei tre casi considerati, a titolo esemplificativo, sia il consulente privacy che quello informatico così come lo studio legale vanno nominati Responsabili esterni del trattamento ex art. 28/679/2016 in quanto ad essi il Titolare ricorre per trattamenti effettuati per suo conto, ma a determinare il conflitto d’interessi non è la nomina a Responsabili bensì il tipo di attività che sottende la relazione con il Titolare.

Il ragionamento da fare è un po’ quello per la composizione dell’Organismo di Vigilanza (OdV).
Il Responsabile del servizio di prevenzione e protezione (RSPP) piuttosto che il consulente del sistema di gestione ambientale e persino i sindaci nelle società di capitale, a dispetto del disposto ex art. 6/231/2001 c. 4-bis, non possono – de facto – far parte dell’OdV in presenza di conflitto d’interessi in quanto:

  • l’RSPP, membro dell’OdV, si ritroverebbe a controllare il proprio operato con riferimento all’osservanza della normativa sulla sicurezza sul lavoro la cui materia è contemplata fra i rischi reato 231;
  • il consulente ambientale, allo stesso modo, si ritroverebbe a verificare l’appropriatezza dei consigli formulati all’Organizzazione, in conformità al D. Lgs. 152/2006 e smi ed alla UNI EN ISO 14001;
  • il sindaco, infine, quale membro dell’organismo si ritroverebbe a controllare aspetti strettamente connessi alla propria attività oggetto, a loro volta, delle verifiche dell’OdV.

Né può essere membro dell’Organismo il DPO, o il consulente privacy. Come potrebbe, questi, controllare la correttezza delle azioni intraprese dovendo verificare eventuali rischi reato riguardanti i Delitti informatici ed il trattamento illecito di dati?

Ecco, queste situazioni sono del tutto assimilabili a quelle più sopra riportate; situazioni nelle quali la figura di controllore e controllato pongono sì, in essere, un evidente conflitto d’interessi.

Marcello Colaianni
Compliance & Management Systems Consultant/Auditor
Certified DPO  e DP Auditor UNI 11697
Certified DP Auditor ISDP 10003:2018 Scheme

 

 

Annunci

Il Medico competente: Responsabile del trattamento o Contitolare?

Il recente chiarimento del Garante Privacy che sancisce che i Consulenti del lavoro – “nonché coloro che siano iscritti negli albi degli avvocati […], dei dottori commercialisti, dei ragionieri e periti commerciali” (v. legge n. 12/1979 cit.)” – sono da considerarsi Responsabili del trattamento, mi fa riflettere circa la figura del medico competente prevista dal D. Lgs. 81/08 e smi.

Siamo in presenza di un mandato con cui il Datore di lavoro (e il dirigente) nomina il medico competente per l’effettuazione della sorveglianza sanitaria.
Appare chiaro che il medico competente sussiste in quanto a lui l’Organizzazione ricorre per l’effettuazione di trattamenti per proprio conto annoverandosi, così, fra i Responsabili del trattamento ex art. 28/679/2016.

Occorre ricordare, però, che l’elemento fondante del regolamento è la protezione delle persone fisiche con riguardo al trattamento dei dati personali e non la sussistenza di un rapporto contrattuale, o altro atto giuridico, fra le parti. Ciò che prevale, nella corretta attribuzione dei ruoli in ambito data protection, è l’oggetto del trattamento, nella fattispecie, il dato particolare.

Sebbene il medico competente sia in azienda a svolgere i propri compiti in quanto nominato dal Titolare, prevale il fatto che questi non si limita a raccogliere i dati personali dei dipendenti che gli sono stati forniti bensì che estrae (in occasione delle visite mediche), organizza e struttura dati relativi alla salute. Il medico competente effettua trattamenti di dati necessari per finalità di medicina del lavoro, per la valutazione della capacità lavorativa del dipendenti. E questi sono dati che il Titolare non è legittimato a trattare.

Il medico competente tratta questi dati non per conto del Titolare ma per disposizione legislativa.

Il rapporto contrattuale con il Titolare e l’esclusiva nel trattamento di dati particolari in capo al medico competente consente allora di identificare quest’ultimo contitolare ex art. 26/679/2016. Siamo in presenza di Contitolari che determinano congiuntamente le finalità e i mezzi del trattamento. Essi determinano in modo trasparente, mediante un accordo interno, le rispettive responsabilità in merito all’osservanza degli obblighi derivanti dal regolamento con particolare riguardo all’esercizio dei diritti dell’interessato. Accordo di cui l’interessato deve essere debitamente edotto.

E quando il medico competente è un dipendente del datore di lavoro? È un Responsabile? No. È sempre un contitolare.

Sebbene i dipendenti rientrino ragionevolmente nella definizione di persone autorizzate di cui all’art. 29/679 in quanto agiscono sotto l’autorità del Titolare del trattamento, il medico competente non effettua il trattamento dei dati particolari sotto l’autorità del Titolare bensì in ottemperanza alle specifiche disposizioni di legge che ne disciplinano il ruolo e i compiti.

Il medico competente tratta dati personali particolari in quanto lo richiede il diritto dello Stato membro e non il Titolare.

Se quella sopra enunciata è la prospettiva da prendere in considerazione c’è da chiedersi quanto ne siano a conoscenza, i medici competenti.
In termini di responsabilità non cambia molto, rispetto al ruolo di Responsabile, vigendo il disposto ex art. 82/679. Rispetto al ruolo di persona autorizzata, però, si; eccome!

C’è poi il fatto che il medico competente, quale contitolare e con riferimento esclusivo alle sue finalità e i mezzi del trattamento, deve essere pronto all’interazione diretta con gli interessati e rispondere ai diritti che questi volessero esercitare nei suoi confronti.
Nulla di nuovo rispetto al Responsabile, ma per il resto?

Marcello Colaianni
Certified DPO UNI11697
Certified Privacy Auditor UNI11697
Certified DP Auditor ISDP10003 Scheme

 

 

DPO e RESPONSABILE del trattamento: 2 facce della stessa medaglia?

Ad oltre 2 anni dall’entrata in vigore del GDPR, restano di estrema attualità le riflessioni con cui, in adempimento ai requisiti ex art. 37, § 1, lett. a), b) e c), viene designato il Responsabile della Protezione dei Dati (RPD) ovvero il DPO.

Il Regolamento è perentorio ed individua il DPO in colui che:

  1. ha idonee qualità professionali,
  2. ha la conoscenza specialistica della normativa
  3. ha la conoscenza specialistica delle prassi in materia di protezione dei dati,
  4. ha la capacità di assolvere i compiti di cui all’articolo 39
  5. può svolgere altri compiti e funzioni purché questi non diano adito a conflitti d’interessi del che è garante il Titolare/Responsabile del trattamento

il che non dovrebbe lasciare dubbi a riguardo.

Tuttavia, qualunque sia il motivo, a prevalere è la volontà di concentrare ruoli e funzioni in capo al minor numero possibile di persone supportati, oltre ogni ragionevolezza, della possibilità di svolgimento di altri compiti e funzioni a dispetto di eventuali conflitti d’interesse.
Ecco allora che troviamo il consulente, il giurista, l’esperto informatico o il risk manager avocare a sé sia il ruolo di Responsabile esterno del trattamento, in quanto gestore del trattamento dei dati del Titolare, sia, all’occorrenza, quello del DPO.

Le linee guida del EDPB forniscono chiare indicazioni raccomandando di evitare che il DPO designato ricopra ruoli di vertice (es. amministratore delegato, responsabile operativo, responsabile finanziario, responsabile sanitario, responsabile marketing, responsabile IT, direzione risorse umane) o posizioni gerarchicamente inferiori se quest’ultime comportano la determinazione di finalità o mezzi di trattamento. Qui, tuttavia, la fattispecie contrasta comunque con la previsione della designazione del DPO da parte del vertice del Titolare nonché dei presupposti di autonomia ed indipendenza.
In ipotesi di ricorso all’esterno del DPO il conflitto di interessi può poi manifestarsi laddove questi si ritrovi a ricoprire il ruolo di Responsabile o Con-titolare in qualità di, per esempio, RSPP, membro dell’OdV o dell’OdV monocratico, membro del Collegio sindacale, ecc.

Dati questi presupposti, l’orientamento sembra essere quello di evitare la designazione del DPO in capo a soggetti, interni o esterni, che in virtù delle funzioni già ricoperte trattano, a vario titolo, dati personali del Titolare.

MA le linee guida non sono fonti del diritto!

Quindi, è sufficiente che il Titolare/Responsabile afferma che non vi è conflitto d’interessi fra i compiti del DPO e gli altri compiti e funzioni?
No, occorre anche dimostrarlo in maniera inequivocabile!

Esiste un punto molto chiaro nel Regolamento che palesa l’esistenza di un conflitto d’interessi fra i 2 ruoli. Alla lettera h) dell’art. 28 che prescrive che il Responsabile del trattamento mette a disposizione del titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui al presente articolo e consenta e contribuisca alle attività di revisione, comprese le ispezioni, realizzati dal titolare del trattamento o da un altro soggetto da questi incaricato evidenziando l’impossibilità che controllore e controllato siano la stessa persona.
Insomma, c’è chi fa e c’è chi controlla!

È presto fatto: per le ispezioni al Responsabile/DPO si ricorre a un auditor interno o, meglio, ad un’organizzazione indipendente esterna evitando così che il Responsabile/DPO possa trovarsi contemporaneamente nella duplice posizione di controllore (come DPO) e di controllato (come Responsabile del trattamento).
Bah, mi sembra un comportamento elusivo e fine a se stesso.

Mi trovo costretto a perorare la mia causa: <<Responsabile e DPO sono funzioni in conflitto d’interessi!>>. Perché, fra l’altro:

  • sono normativamente inquadrati come soggetti fra loro in antitesi;
  • il Responsabile mette in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del regolamento e garantisca la tutela dei diritti dell’interessato;
  • il DPO sorveglia a che siano soddisfatti i requisiti del regolamento e messe in atto le azioni necessarie volte a tutelare i diritti dell’interessato;
  • il Responsabile tratta i dati personali soltanto su istruzione documentata del titolare del trattamento;
  • il DPO svolge i suoi compiti in assoluta assenza di istruzioni, in piena autonomia ed indipendenza.

A porre la dovuta attenzione, da parte del Titolare, circa la più idonea ed appropriata applicazione dei requisiti del GDPR è l’art. 24, 1° paragrafo che contempla, per il Titolare, la messa in atto di misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al regolamento tenuto conto (…) dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche.

Fra le misure tecniche e organizzative da considerare, fin dalla progettazione, c’è quindi l’elaborazione di un chiaro organigramma per la data protection, l’individuazione dei singoli ruoli e responsabilità, all’insegna del principio di accountability su cui si basa l’intero regolamento, nonché dei compiti e funzioni che possono avere diversi livelli di probabilità, di essere fra loro in conflitto, ed altrettanti livelli di gravità ovvero di entità del danno che ne può conseguire.
Un’analisi superficiale delle condizioni di conflitto di interesse potrebbe determinare, in capo al Titolare/Responsabile, una culpa in eligendo con il rischio di disconoscimento del DPO e l’irrogazione di sanzioni pecuniarie per la sua conseguente mancata designazione.

Tutto ciò premesso, qualunque sia il risultato della valutazione di questa fattispecie di rischio, è evidente quanto sia utile, opportuno e doveroso tenere, da subito, separati i compiti e le aree di responsabilità in conflitto fra loro per ridurre al minimo le possibilità di trattamento illecito/irregolare degli asset dell’organizzazione quali sono i dati personali.

Marcello Colaianni
Certified DPO UNI11697
Certified DP Auditor ISDP10003 Scheme
Valutatore Privacy Certificato UNI11697

 

Culpa in eligendo, culpa in vigilando e principio di effettività nelle relazioni fra TTDP e RTDP

Nelle relazioni fra Titolare del trattamento e Responsabile del trattamento, al di là del dettato normativo, sono state espresse tante, a volte troppe, interpretazioni del tipo:

  • il Titolare del trattamento deve o può (?) nominare il Responsabile del trattamento ….;
  • il Responsabile del trattamento comunica al Titolare l’assunzione di incarico in forza di …;
  • il Titolare ed il Responsabile sottoscrivono un contratto negoziando sui suoi contenuti … .

Sono tutte considerazioni legittime che, però, determinano comportamenti differenziati e, non sempre, allineati ai requisiti del GDPR.
Ragioniamo, insieme, con il Regolamento alla mano riportando innanzitutto le definizioni che seguono:

  • «titolare del trattamento»: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali (…);
  • «responsabile del trattamento»: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento.

Si evince, fin da subito, come sia il Titolare del trattamento a fare il primo passo nei confronti del Responsabile, e non viceversa perché è quest’ultimo che, in virtù di un mandato o contratto di servizi sottoscritto con il Titolare, tratta dati personali a questi riconducibili. E proprio in funzione del contratto di servizi, o del mandato, che i dati personali riconducibili al Titolare saranno più o meno ampi con riferimento alla categoria di dati trattati (dati personali, particolari, giudiziari penali) piuttosto che ai mezzi di trattamento o altro ancora.

Questa è ancora la fase in cui è “semplicemente” stabilito il rapporto professionale fra le parti. Quindi lo studio dell’Avvocato, del Consulente del lavoro o della Società di consulenza in materia di privacy, per fare solo pochi esempi, in virtù del suddetto mandato o contratto, si pongono come Responsabili del trattamento nei confronti del loro assistito ovvero del loro cliente.

Il Reg. UE 679/2016, al primo paragrafo dell’art. 28, recita: “Qualora un trattamento debba essere effettuato per conto del titolare del trattamento, quest’ultimo ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato”.

È indubbio che nel farsi rappresentare dall’avvocato, nelle sedi giudiziarie, o nel ricorrere al consulente del lavoro per la gestione paghe dei propri dipendenti o alla società di consulenza per adeguarsi alla normativa sulla privacy si sta facendo riferimento ad un trattamento di dati personali che deve essere effettuato per conto del titolare del trattamento.

A questo punto, se il servizio è garantito dalla firma del contratto sottoscritto fra cliente e fornitore, occorre far sì che anche il rapporto fra Titolare (ovvero il Cliente) e Responsabile (cioè il Fornitore), ai fini privacy, sia ugualmente garantito.

Come? Semplice: il Titolare nomina il proprio Fornitore come Responsabile del trattamento.
In che modo? Con un contratto o altro atto giuridico!

Ed ecco il semaforo rosso! Come fa il Titolare a ricorrere ovvero nominare quell’avvocato, quel consulente o quella società se non sa nemmeno se presentano garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato?

I suddetti soggetti, già per loro conto in quanto Titolari dei propri dati personali, devono adempiere al regolamento. Quindi, già di per sé sono tenuti al rispetto del GDPR. L’assunzione del ruolo di RTDP conseguente alle relazioni con il Titolare non costituisce una fattispecie diversa se non quella dettata dalla contestualizzazione dei rapporti nello svolgimento della propria attività. Infatti l’Avvocato, il Consulente e la Società, nei confronti dei loro fornitori, si pongono a loro volta come titolari.
Titolari e Responsabili sono entrambi terzi alternandosi di volta in volta a seconda dello specifico contesto. Ce lo ricorda l’art. 4, che al punto 10) del primo paragrafo, definisce <<terzo>>: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che non sia l’interessato, il titolare del trattamento, il responsabile del trattamento e le persone autorizzate al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile.

A dispetto di tutto ciò, la nomina a RTDP (esterno) non viene sottoscritta; chissà per quale motivo (??).

Il Titolare a questo punto può assumere due comportamenti: sostituire il professionista o soprassedere perché prevalgono le competenze specifiche. Ma ahimè, la mancata sottoscrizione del contratto, di nomina del RTDP, determina una sanzione amministrativa pecuniaria.

Infatti, l’art. 83/679/2016 dispone che (…) la violazione delle disposizioni seguenti è soggetta a sanzioni amministrative pecuniarie fino a 10 000 000 EUR, o per le imprese, fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore nei casi di: a) gli obblighi del titolare del trattamento e del responsabile del trattamento a norma degli articoli 8, 11, da 25 a 39, 42 e 43.
Come si può notare, l’art. 28 ci sta; è specificatamente considerato.

Un altro aspetto per cui la nomina del RTDP è oltremodo doverosa e opportuna è quello esplicitato all’art. 82/679/2016 in materia di Diritto al risarcimento e responsabilità e, più precisamene, in materia di responsabilità solidale.

Al Titolare, quindi, può essere obiettato il fatto che il soprassedere alla sottoscrizione del contratto di nomina del RTDP è contrario ai suoi obblighi di messa in atto delle misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento con un rischio, appunto, di sanzione amministrativa pecuniaria fino a 10 000 000 EUR, o per le imprese, fino al 2 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore per inosservanza del combinato disposto ex artt. 24, 28 e 83 del GDPR.

Per quanto sopra, oggettivamente, al Titolare non può essere attribuita una culpa in eligendo laddove i RTDP nominati dovessero disattendere i requisiti di idoneità e adeguatezza. Abbiamo detto perché obbligati al rispetto del Regolamento, fin dall’origine, in qualità di TTDP.

Altro è invece se parliamo di culpa in vigilando. Fra le istruzioni che il Titolare impartisce al RTDP, infatti, è obbligatoria anche quella che prevede di poter svolgere, direttamente e/o indirettamente, attività di revisione e ispezione. Facoltà del tutto legittima anche se estesa a tutta la filiera dei soggetti che, direttamente o meno, trattano dati personali riconducibili al Titolare … fino al gestore del cloud.

Per chi, infine, ritiene che la nomina del RTDP è, persino, irregolare dichiarando il prevalere del cosiddetto principio di effettività per cui il RTDP è tale di fatto e non deve ricevere nessun incarico formale, per la semplice esistenza di un contratto di fornitura (quando esiste) o del rapporto di compravendita fra le parti, mi permetto di dissentire fortemente perché siffatto principio:

  • deve essere esplicitamente richiamato nella specifica normativa di riferimento;
  • non rientra nel novero dei Principi applicabili al trattamento di dati personali ex art. 5;
  • è palesemente in contrasto al disposto ex art. 28.

Nulla quindi che possa essere paragonato al principio di effettività richiamato, per quanto di propria competenza, nella legislazione speciale di cui al:

  • D. Lgs. 81/08 e smi che – all’art. 299/81/08 e smi “Esercizio di fatto di poteri direttivi” – recita: <<Le posizioni di garanzia relative ai soggetti di cui all’articolo 2, comma 1, lettere b), d) ed e), gravano altresì su colui il quale, pur sprovvisto di regolare investitura, eserciti in concreto i poteri giuridici riferiti a ciascuno dei soggetti ivi definiti e
  • D. Lgs. 231/01 e smi che – al comma 1, lett. a) dell’art. 5 “Responsabilità dell´ente” – dispone: <<L´ente è responsabile per i reati commessi nel suo interesse o a suo vantaggio da persone che rivestono funzioni di rappresentanza, di amministrazione o di direzione dell´ente o di una sua unità organizzativa dotata di autonomia finanziaria e funzionale nonché da persone che esercitano, anche di fatto, la gestione e il controllo dello stesso.

Marcello Colaianni
Compliance & Management Systems Consultant/Auditor
Privacy Consultant & DP Auditor Certified

 

 

Coaching & Compliance

La compliance, ovvero la conformità alla normativa riferita a diversi ambiti riguardanti, per esempio, la Sicurezza sul lavoro, il nuovo Regolamento UE sulla protezione dei dati personali, i reati 231 e l’Anticorruzione spaziando ai diversi Sistemi di gestione aziendale, pone le aziende ad istituzionalizzare funzioni ad hoc con ruoli e responsabilità ben precise.

Quanto sopra sollecita, in maggior misura, le Organizzazioni più strutturate dove job description e procedure forniscono le più appropriate linee guida di comportamento.

L’esperienza ormai consolidata dimostra, tuttavia, che per passare dalle buone intenzioni ai fatti è UTILE che si parta da chiare Vision e Mission a cura del vertice aziendale condivise dai diversi livelli e funzioni dell’Organizzazione.
Tutto ciò presuppone una coesa e allineata interazione fra tutti i soggetti aziendali che solo in TEAM possono raggiungere gli obiettivi prefissati.

La condivisione di un obiettivo comune, il mutuo soccorso, l’orgoglio di appartenenza ad una stessa squadra, funzione, azienda concorrono a muovere ogni individuo e dare il meglio di sé consapevole del suo contributo all’interno dell’operatività di tutti.
Questo comporta il riconoscimento dei propri superiori che, con l’autorevolezza, e non l’autorità, il carisma e l’esempio, trascinano le folle nel raggiungimento dei traguardi, sostengono la stima fra i colleghi e la capacità di cogliere il meglio dai propri collaboratori.

Se l’Organizzazione può ricorrere a questi fondamentali ingredienti dove il rispetto ed il riconoscimento dell’altrui lavoro sono base e motore di ogni iniziativa volta all’innovazione ed all’evoluzione della cultura aziendale … siamo a buon punto.
Se, invece, il clima è pesante e il malcontento aleggia nei vari ambienti e fra le persone, se prevale l’individualità sul comune interesse, viene a mancare l’humus per un terreno fertile e pronto a coltivare i semi del successo…

… E per trovare i semi giusti da piantare ed innaffiare periodicamente occorre guardarsi intorno, tornare alle vecchie, ma sempre valide, tecniche di MBWA (Management By Walking Around) e verificare ciò che manca perché l’azienda si renda conto, finalmente, che fra tutte le risorse a propria disposizione è la Risorsa Umana la più bisognosa di attenzioni.

Solo dopo questo passo, con le idee più chiare e ben formate, si capisce cosa occorre:

  1. uno strumento che possa risvegliare gli animi delle persone e ricondurle ad un comune senso di sé e degli altri dove tutte sono sulla stessa barca ed ognuna mette a disposizione le proprie competenze e capacità e, ancor più importante, le proprie potenzialità;
  2. uno strumento grazie al quale ogni lavoratore possa riscoprire proprie risorse, latenti o fin troppo a lungo sopite, elicitandole sempre più e coniugarle con i nuovi bisogni aziendali;
  3. uno strumento che possa garantire, nel tempo, la continuità di un know how che, nel rispetto delle tradizioni, sappia innovare e rinnovarsi continuamente consentendo, all’Organizzazione, di evolvere ed evolversi, sempre.

Coaching e Mentoring sono lo strumento!

Il Coaching che, secondo esigenza:

  1. ricongiunge le ambizioni aziendali e delle persone che vi lavorano;
  2. rivela nuove esigenze aziendali e le potenzialità di chi ritrova rinnovato e riconosciuto valore nell’assunzione di nuove responsabilità;
  3. riallinea i diversi ruoli portando a scoprire le qualità utili al raggiungimento del comune traguardo …

… ed il Mentoring che, al proprio interno o ricorrendo a Mentor esterni depositari di differenziate esperienze, si rivela guida utile nell’istituzione di nuove funzioni o nell’istruzione delle abilità necessarie,”qui e ora”, per dare il meglio di sé, oggi e domani.

                 Marcello Colaianni
Consulente – Business Coach – Formatore

l’INCLUSIONE

Oggigiorno il termine INCLUSIONE è sempre più sulla bocca di tutti .

Un termine che mi è particolarmente caro, per la professione che svolgo, al di là dei suoi significati in ambito letterario, matematico, sociale.

L’Inclusione è un dato di fatto, quando si indica lo stato di appartenenza di qualcuno (per esempio dei Lavoratori) a qualcosa (come l’Organizzazione in cui si presta la propria attività).
L’Inclusione è un successo quando allo stato di appartenenza subentra il senso di orgoglio di appartenenza  (per esempio dei Lavoratori) a qualcosa in cui si crede e per cui si e fieri di dare il proprio contributo (come l’Organizzazione in cui si lavora).

E’ l’obiettivo raggiunto di una interazione sinergica di tutti quei modelli utilizzati dalle Organizzazioni per dimostrare la propria sensibilità nei confronti dei desideri ed aspettative dei propri stakeholder: l’Ambiente, la Responsabilità sociale, la Sicurezza delle informazioni, la Qualità dei propri prodotti e processi e tanto altro ancora.
È il traguardo del resiliente che, grazie all’elicitazione delle proprie risorse sopite o (forzatamente) accantonate, si attiva in una re-ingegnerizzazione di sé, nel lavoro e nella vita.

È il presupposto e, nel contempo, la conseguenza di un continuo confronto fra soggetti che si adoperano nel convergere le proprie energie nel raggiungimento di interessi comuni in un processo in cui il do ut des corrisponde al raggiungimento degli obiettivi aziendali, da una parte, ed alla gratificazione nel vedere soddisfatti i propri interessi, dall’altra.

L’Inclusione di cui empatia e comprensione, rispetto e stima, condivisione e collaborazione sono ingredienti di imprescindibile importanza.

inclusione

Responsabile della Sicurezza e Responsabile del Servizio di Prevenzione e Protezione: figure diverse e complementari

Resto  abbastanza … perplesso quando leggo o sento parlare, ancora adesso e da più parti, del Responsabile della Sicurezza intendendo però colui che ricopre, in realtà, il Ruolo di Responsabile del Servizio di Prevenzione e Protezione (RSPP).

La differenza terminologica delle due figure è tutt’altro che una semplice sottigliezza.

La norma, infatti, definisce chiaramente il ruolo dell’RSPP attribuendogli, in presenza di presupposti, una serie di compiti in virtù della nomina da parte del Datore di lavoro da cui dipende.
Compiti, quindi, non obblighi.

Il Responsabile della Sicurezza (RS) è, invece, colui che in virtù del proprio ruolo di Datore di lavoro, Dirigente, Preposto o Lavoratore (nonché di Fabbricante, Progettista, Fornitore ed Installatore) è titolare di specifici obblighi e sanzioni.

Qual è, quindi, la differenza?

Il fatto che per l’RSPP si parli di compiti e per l’RS di obblighi? Si, e non solo.
Sia chiaro! Sto dicendo che la dottrina fa i dovuti distinguo … e, naturalmente, la giurisprudenza fa la sua parte.

L’aspetto più rilevante che riscontro frequentando le Organizzazioni, di qualunque dimensione e struttura organizzativa, è la tendenza, ahimè, radicata e fin troppo diffusa, di credere che l’RSPP sia il destinatario di tutte le incombenze e responsabilità in materia di Sicurezza sul lavoro.
Niente di più errato!

La diversa programmazione dell’attività formativa, allo stesso modo, è un’altra rilevante differenza. Sono infatti normativamente previsti differenziati percorsi formativi sia in capo all’RSPP ed agli Addetti al Servizio di Prevenzione e Protezione (ASPP) sia in capo alle suddette figure sopra richiamate in qualità di Responsabili della sicurezza.

… e ancora:

La poca chiarezza circa il ruolo dell’RSPP influisce, poi, anche in ambito organizzativo e relazionale.
Tante sono le volte in cui la collocazione, in organigramma, del Servizio di Prevenzione e Protezione riflette aspettative differenti rispetto ai ruoli attribuitogli ed alla corsia preferenziale che l’RSPP ha con il Datore di lavoro (vedi art. su blog: L’RSPP dal punto di vista organizzativo). C’è molto di più che riempire una casellina e posizionarla in basso in line o in staff a questa o quella funzione!
L’RSPP è al di sopra delle parti e si attiva nell’interesse dell’intera impresa o gruppo di imprese.
È uno stratega che, in staff al datore di lavoro, si interfaccia con tutte le figure aziendali e accoglie suggerimenti, obiezioni e critiche che si rivelano utili per il miglioramento della safety aziendale.
È un professionista che, ligio al dettato normativo, si adopera per la sua più idonea applicazione coniugando i requisiti cogenti con le esigenze relazionali e di processo dell’Organizzazione.

C’è anche il caso in cui l’RSPP interno ricopra il ruolo di Dirigente o di Delegato del datore di lavoro. In questa ipotesi l’eventualità di dover rispondere per inadempimento, o altro, è più probabilmente collegata alla sua primaria funzione di Dirigente (o Delegato), piuttosto che a quella di RSPP.

Riporto, infine, un’altra situazione. Quella in cui pur svolgendo, l’impresa, attività rientranti fra quelle che prevedono obbligatoriamente l’SPP interno, e del Servizio di Prevenzione e Protezione l’RSPP fa parte, viene scelto un Responsabile esterno affermando che “l’importante è il tempo in cui l’RSPP si dedica alla sicurezza in azienda rispetto al tipo di rapporto di lavoro”.
Beh, il discorso è diverso! La nomina rischia di essere disconosciuta con la conseguenza di incorrere nell’arresto (o ammenda) del datore di lavoro.

Tutto ciò per dire che, prima di tutto, è utile ed opportuno  individuare la persona più idonea per la nomina di Responsabile del Servizio di Prevenzione e Protezione con ben chiaro in mente quelle che si vorrebbe siano le sue principali caratteristiche.
Sarà questi, con il concorso dell’intera Organizzazione e, quindi, dei Responsabili della Sicurezza, ad indicare tempi, modalità ed azioni da intraprendere  facendo sì che la Sicurezza sul lavoro sia vissuta e gestita come una grande opportunità per:

  • un maggiore coinvolgimento e partecipazione delle Risorse umane alla vita aziendale;
  • il conseguimento di obiettivi individuali ed aziendali condivisi;
  • una nuova cultura d’impresa.

 

Il Safety Coach quale evoluzione dell’R.S.P.P. e del Safety Consultant

L’R.S.P.P. ed il Consulente per la Sicurezza sul lavoro (S&SL) hanno compiti ben definiti dalla legislazione speciale e dagli accordi con l’Organizzazione beneficiaria dei loro servizi.

È maturato il tempo perché le suddette figure assumano un ruolo più relazionale ed empatico con i molteplici interlocutori. Non solo professionisti attenti all’applicazione dei requisiti cogenti, bensì fautori di un processo volto alla vera ed autentica condivisione ai temi della Sicurezza sul lavoro.

Cosa significa, di preciso, Safety Coach?
Il Coach è colui che porta il suo cliente, l’utente finale, a far emergere le proprie risorse interne allo scopo di migliorare la situazione attuale e raggiungere quella desiderata;
Safety identifica l’ambito nel quale il coach si muove nello sviluppo e licitazione delle suddette risorse.

Il Safety Coach ha quindi il compito di trascendere ed andare oltre alla pedissequa osservanza degli obblighi di legge instaurando relazioni intense con i diversi attori della sicurezza sul lavoro nell’interesse di tutto il Sistema di Prevenzione e Protezione e dell’intera Organizzazione.

L’approccio alla S&SL, così facendo, si evolve con l’adozione di comportamenti virtuosi da parte di tutte le figure aziendali che, sensibilizzate e sensibili  alla tematica in discorso, si attivano responsabilmente come membri della stessa squadra, in virtù del proprio ruolo ed all’insegna del mutuo soccorso, muovendosi all’unisono nella realizzazione di un progetto comune:  la trasformazione dell’osservanza degli obblighi di legge in materia di sicurezza sul lavoro in strumento ed opportunità di valorizzazione delle risorse umane.

Quali sono le leve su cui intervenire per cogliere e recuperare qualità già innate o acquisibili dell’individuo? La consapevolezza e la responsabilizzazione.
La consapevolezza viene raggiunta attraverso un’attività formativa partecipativa  che consente di metabolizzare tutte le informazioni necessarie per poi realizzare un piano di azioni mirato e condiviso.
La responsabilizzazione è l’assunzione consapevole e condivisa di chi ha capito l’importanza del proprio sé e del proprio fare … e non la responsabilità attribuita normativamente ai diversi soggetti  sanzionati in ipotesi di mancato adempimento dei requisiti cogenti.

Qui il Safety Coach, che conosce l’organizzazione, gestisce relazioni interpersonali enfatizzando il valore e l’identità di ciascuno in un contesto nel quale nessuno è un numero e tutti sono necessari.

È utile cogliere i bisogni che ciascun individuo, come essere umano, ha in quanto tale e valorizzare quelli che maggiormente lo motivano per il raggiungimento dei risultati; non tutti i bisogni, infatti, hanno lo stesso peso e lo stesso valore da parte delle persone.

Condividiamoli insieme avvalendoci della “Piramide di Maslow”. Assumono rilevanza quelli riguardanti la necessità di sicurezza (fisica, di occupazione, di salute), di appartenenza ad un gruppo e di stima, di autostima e rispetto reciproco fino all’autorealizzazione.
Si capisce allora come l’essere riconosciuti, nel luogo di lavoro, come unici ed irripetibili e non uno dei tanti abbia una dirompente influenza sulla motivazione individuale. Il riconoscimento della propria identità, dell’unicità della persona è senza uguali.

Un altro bisogno è accettare, o cercare, nuove sfide che rompano la monotonia del solito tram tram. Nuove sfide che motivano le persone ad allargare la propria mappa, a diversificare esperienze e competenze, a confrontarsi e crescere con il piacere di dare ed offrirsi all’insegna della reciproca crescita umana e professionale.
Si arriva infine ad un bisogno, al supremo dei cosiddetti “livelli logici”, che è quello spirituale, inteso come esigenza di condividere il proprio valore con la comunità.

Ecco!

Questo è ciò che mi sento di dire.
Questo è il mio ruolo di Safety Coach e Mentore (v. anche pubblicazione: “Consulenza per la sicurezza sul lavoro, Safety Coaching e Mentoring: il trinomio vincente per l’impresa lungimirante).
Questo è quello che ti posso dare rivolgendoti a me.

Marcello arancione

Sicurezza sul lavoro: quale R.S.P.P., quale Consulente?

In materia di Salute e Sicurezza sul lavoro (S&SL) le Organizzazioni si affidano al Responsabile del Servizio di Prevenzione e Protezione (R.S.P.P.) ed al Consulente quali referenti per antonomasia.

Spesso la scelta del professionista avviene assumendo che questi sia una sorta di tuttologo, una persona onnisciente e depositaria di qualunque competenza a riguardo. Ci si affida alla copertura del codice ateco di riferimento, per l’R.S.P.P., o al settore merceologico dell’azienda a cui il professionista si rivolge e, quindi, si presume specificatamente competente.

Si è poco informati, e formati, nel pensare che tutti gli aspetti di igiene e sicurezza sul lavoro possano essere affrontati, in toto, da un solo professionista. Il ricorso a specifiche expertises è inevitabile e l’R.S.P.P./il Consulente, in questo caso, è fondamentale nell’evidenziare quali ulteriori professionalità occorrono per la valutazione e misurazione di rischi specifici.

In presenza di Organizzazioni con un Servizio di Prevenzione e Protezione (S.P.P.) interno, il Responsabile (R.S.P.P.) potrebbe essere un tecnico dello specifico rischio caratterizzante l’ateco dell’impresa e gli Addetti S.P.P. potrebbero conoscere bene altri rischi specifici. Altre volte la competenza tecnica è affidata ai soli Addetti riservando all’R.S.P.P. il compito di monitorare sull’intero Sistema di prevenzione e protezione fornendo il proprio contributo sugli aggiornamenti normativi nonché su aspetti organizzativi, formativi o procedurali.

Sconsigliato l’approccio più semplicistico, sopra esposto, nella scelta del professionista è utile che, in presenza di un S.P.P., le competenze siano equamente distribuite così da poter ottimizzare il contributo di ciascun membro.

Personalmente sono del parere che si debba pensare all’R.S.P.P. come ad un professionista che, al di là della competenza tecnica, sia depositario di proprie e peculiari abilità quali le capacità relazionali, per esempio, nel coordinamento dei professionisti coinvolti o delle funzioni aziendali, la visione d’insieme necessaria per un approccio sistemico volto ad evitare che la soluzione di un problema possa essere la causa di altri o ancora la conoscenza di norme collegate/correlate richiamate dallo stesso T.U. quali i Sistemi di gestione della sicurezza sul lavoro o la Responsabilità amministrativa delle persone giuridiche riferita alle responsabilità dell’Organizzazione per reati colposi commessi, al fine di trarre interesse o vantaggio, da parte di soggetti, interni o esterni, che intrattengono a vario titolo rapporti con l’impresa.

Questo è il mio punto di vista e questa è la modalità con cui mi propongo quale che sia il mio ruolo, di Consulente o di R.S.P.P.  ..… e non ci si lasci ingannare dal nome!

Il Responsabile del Servizio di Prevenzione e Protezione non è il Responsabile della sicurezza! Questi sono, nell’impresa, il Datore di lavoro, i Dirigenti, i Preposti, i Lavoratori e il Medico competente soggetti a specifiche sanzioni in ipotesi di inosservanza dei propri obblighi in materia di S&SL.

L’R.S.P.P., interno o esterno, non è nemmeno predestinato a dare ordini o direttive alle altre figure aziendali. È piuttosto la persona che, in staff, al Datore di lavoro, esercita i propri compiti funzionali interfacciandosi con tutti i livelli e funzioni aziendali, e non solo.

Se poi l’R.S.P.P. ricopre altri ruoli o è delegato del datore di lavoro … beh, questo è un altro discorso.

Marcello arancione

L’R.S.P.P. dal punto di vista organizzativo

Sono spesso chiamato a progettare organigrammi sulla base dell’effettiva organizzazione all’interno di un’impresa o di un gruppo di imprese.

In questi casi mi capita di constatare che la Funzione del Servizio di Prevenzione e Protezione (SPP) è collocata alle dipendenze del Direttore di stabilimento o del Responsabile Risorse umane.

Indipendentemente dalle diverse relazioni che il SPP intrattiene all’interno dell’Organizzazione, al di là di ogni generalizzazione, ritengo che la più appropriata collocazione del SPP, nella struttura organizzativa, sia quella in staff al Datore di lavoro.

Ciò perché il SPP si interfaccia con tutti i livelli e funzioni dell’impresa e perché, nello svolgimento dei suoi compiti, ha la necessità che il Datore di lavoro gli riconosca l’autorevolezza che gli spetta il che è utile anche per lo stesso DdL che, in materia di Sicurezza sul lavoro, è il Responsabile per antonomasia.

Non è un caso che la normativa, pur limitando il rapporto al solo Responsabile del SPP, e non anche agli Addetti SPP, stabilisce che il RSPP dipende dal Datore di lavoro che lo nomina enfatizzando e tutelando il rapporto privilegiato e senza filtri che deve esistere ed essere mantenuto fra DdL e RSPP. E per questo le altre funzioni, Dirigenti e Preposti per primi, non abbiano a prendersela a male interpretando la piena legittimità del rapporto in discorso come uno scavalcamento del proprio Ruolo.

Questa riflessione assume ulteriore conforto nel contesto di un gruppo di imprese in cui il SPP può essere centralizzato presso la holding mantenendo le necessarie relazioni con le singole aziende o unità produttive del gruppo o avendo, all’occorrenza, anche un proprio Addetto SPP presso di esse.

Marcello arancione