COMPLIANCE & ENTERPRISE MANAGEMENT SYSTEMS

Da tempo, sempre più, ci accorgiamo di quanto la normativa cogente si trovi affiancata da norme volontarie che trattano, da un punto di vista sistemico, la materia.

E’ il caso, per esempio:

  1. dell’Anticorruzione che, disciplinata nell’ambito del D. Lgs. 231/01, dalla L. 190/2012, dal D. Lgs. 38/2017 e dalla L. 3/2019, è normata dallo standard UNI ISO 37001:2016;
  2. della Sicurezza sul lavoro con il D. Lgs. 81/08, da una parte, e la UNI ISO 45001, già OHSAS 18001, dall’altra;
  3. della Responsabilità Sociale, a cui fanno riferimento Leggi di stabilità e di bilancio nonché la SA8000, la UNI ISO 26000 e vari modelli di rendicontazione quali Q-RES e AA1000;
  4. dell’Igiene del prodotto alimentare di cui al Decreto Legislativo 193/07 e UNI EN ISO 22000:2018;
  5. della normativa Ambientale che vede il D. Lgs. 152/2006 a livello cogente e la UNI EN ISO 14001 e EMAS a livello volontario.

Ovviamente non si tratta di alternative; la normativa cogente va debitamente osservata dalle Organizzazioni e costituisce requisito preliminare nell’implementazione di un qualsiasi sistema di gestione aziendale.

La decisione di adottare uno standard di riferimento quale adeguamento volontario a requisiti di sistema porta tanti vantaggi in più:

  1. una linea guida nell’applicazione delle leggi;
  2. la diffusione di una cultura dentro e fuori l’organizzazione;
  3. un biglietto da visita che enfatizza la propria sensibilità nello specifico argomento all’insegna delle esigenze ed aspettative dei propri stakeholders;
  4. una visibilità a livello internazionale;
  5. un più facile accesso alla partecipazione ai bandi di gara.

Da qui, la consapevolezza di questa esigenza; un’esigenza di mercato, del lavoro e della concorrenza, soddisfatta dall’opportunità di coniugare normativa cogente e volontaria all’unisono secondo un approccio evolutivo e insieme innovativo.

Marcello Colaianni
Compliance & Management Systems Consultant / Auditor
Certified DPO e Privacy Auditor UNI11697
Certified DP Auditor ISDP 10003:2018 Scheme

 

 

Il Medico competente: Responsabile del trattamento o Contitolare?

Il recente chiarimento del Garante Privacy che sancisce che i Consulenti del lavoro – “nonché coloro che siano iscritti negli albi degli avvocati […], dei dottori commercialisti, dei ragionieri e periti commerciali” (v. legge n. 12/1979 cit.)” – sono da considerarsi Responsabili del trattamento, mi fa riflettere circa la figura del medico competente prevista dal D. Lgs. 81/08 e smi.

Siamo in presenza di un mandato con cui il Datore di lavoro (e il dirigente) nomina il medico competente per l’effettuazione della sorveglianza sanitaria.
Appare chiaro che il medico competente sussiste in quanto a lui l’Organizzazione ricorre per l’effettuazione di trattamenti per proprio conto annoverandosi, così, fra i Responsabili del trattamento ex art. 28/679/2016.

Occorre ricordare, però, che l’elemento fondante del regolamento è la protezione delle persone fisiche con riguardo al trattamento dei dati personali e non la sussistenza di un rapporto contrattuale, o altro atto giuridico, fra le parti. Ciò che prevale, nella corretta attribuzione dei ruoli in ambito data protection, è l’oggetto del trattamento, nella fattispecie, il dato particolare.

Sebbene il medico competente sia in azienda a svolgere i propri compiti in quanto nominato dal Titolare, prevale il fatto che questi non si limita a raccogliere i dati personali dei dipendenti che gli sono stati forniti bensì che estrae (in occasione delle visite mediche), organizza e struttura dati relativi alla salute. Il medico competente effettua trattamenti di dati necessari per finalità di medicina del lavoro, per la valutazione della capacità lavorativa del dipendenti. E questi sono dati che il Titolare non è legittimato a trattare.

Il medico competente tratta questi dati non per conto del Titolare ma per disposizione legislativa.

Il rapporto contrattuale con il Titolare e l’esclusiva nel trattamento di dati particolari in capo al medico competente consente allora di identificare quest’ultimo contitolare ex art. 26/679/2016. Siamo in presenza di Contitolari che determinano congiuntamente le finalità e i mezzi del trattamento. Essi determinano in modo trasparente, mediante un accordo interno, le rispettive responsabilità in merito all’osservanza degli obblighi derivanti dal regolamento con particolare riguardo all’esercizio dei diritti dell’interessato. Accordo di cui l’interessato deve essere debitamente edotto.

E quando il medico competente è un dipendente del datore di lavoro? È un Responsabile? No. È sempre un contitolare.

Sebbene i dipendenti rientrino ragionevolmente nella definizione di persone autorizzate di cui all’art. 29/679 in quanto agiscono sotto l’autorità del Titolare del trattamento, il medico competente non effettua il trattamento dei dati particolari sotto l’autorità del Titolare bensì in ottemperanza alle specifiche disposizioni di legge che ne disciplinano il ruolo e i compiti.

Il medico competente tratta dati personali particolari in quanto lo richiede il diritto dello Stato membro e non il Titolare.

Se quella sopra enunciata è la prospettiva da prendere in considerazione c’è da chiedersi quanto ne siano a conoscenza, i medici competenti.
In termini di responsabilità non cambia molto, rispetto al ruolo di Responsabile, vigendo il disposto ex art. 82/679. Rispetto al ruolo di persona autorizzata, però, si; eccome!

C’è poi il fatto che il medico competente, quale contitolare e con riferimento esclusivo alle sue finalità e i mezzi del trattamento, deve essere pronto all’interazione diretta con gli interessati e rispondere ai diritti che questi volessero esercitare nei suoi confronti.
Nulla di nuovo rispetto al Responsabile, ma per il resto?

Marcello Colaianni
Certified DPO UNI11697
Certified Privacy Auditor UNI11697
Certified DP Auditor ISDP10003 Scheme

 

 

DPO e RESPONSABILE del trattamento: 2 facce della stessa medaglia?

Ad oltre 2 anni dall’entrata in vigore del GDPR, restano di estrema attualità le riflessioni con cui, in adempimento ai requisiti ex art. 37, § 1, lett. a), b) e c), viene designato il Responsabile della Protezione dei Dati (RPD) ovvero il DPO.

Il Regolamento è perentorio ed individua il DPO in colui che:

  1. ha idonee qualità professionali,
  2. ha la conoscenza specialistica della normativa
  3. ha la conoscenza specialistica delle prassi in materia di protezione dei dati,
  4. ha la capacità di assolvere i compiti di cui all’articolo 39
  5. può svolgere altri compiti e funzioni purché questi non diano adito a conflitti d’interessi del che è garante il Titolare/Responsabile del trattamento

il che non dovrebbe lasciare dubbi a riguardo.

Tuttavia, qualunque sia il motivo, a prevalere è la volontà di concentrare ruoli e funzioni in capo al minor numero possibile di persone supportati, oltre ogni ragionevolezza, della possibilità di svolgimento di altri compiti e funzioni a dispetto di eventuali conflitti d’interesse.
Ecco allora che troviamo il consulente, il giurista, l’esperto informatico o il risk manager avocare a sé sia il ruolo di Responsabile esterno del trattamento, in quanto gestore del trattamento dei dati del Titolare, sia, all’occorrenza, quello del DPO.

Le linee guida del EDPB forniscono chiare indicazioni raccomandando di evitare che il DPO designato ricopra ruoli di vertice (es. amministratore delegato, responsabile operativo, responsabile finanziario, responsabile sanitario, responsabile marketing, responsabile IT, direzione risorse umane) o posizioni gerarchicamente inferiori se quest’ultime comportano la determinazione di finalità o mezzi di trattamento. Qui, tuttavia, la fattispecie contrasta comunque con la previsione della designazione del DPO da parte del vertice del Titolare nonché dei presupposti di autonomia ed indipendenza.
In ipotesi di ricorso all’esterno del DPO il conflitto di interessi può poi manifestarsi laddove questi si ritrovi a ricoprire il ruolo di Responsabile o Con-titolare in qualità di, per esempio, RSPP, membro dell’OdV o dell’OdV monocratico, membro del Collegio sindacale, ecc.

Dati questi presupposti, l’orientamento sembra essere quello di evitare la designazione del DPO in capo a soggetti, interni o esterni, che in virtù delle funzioni già ricoperte trattano, a vario titolo, dati personali del Titolare.

MA le linee guida non sono fonti del diritto!

Quindi, è sufficiente che il Titolare/Responsabile afferma che non vi è conflitto d’interessi fra i compiti del DPO e gli altri compiti e funzioni?
No, occorre anche dimostrarlo in maniera inequivocabile!

Esiste un punto molto chiaro nel Regolamento che palesa l’esistenza di un conflitto d’interessi fra i 2 ruoli. Alla lettera h) dell’art. 28 che prescrive che il Responsabile del trattamento mette a disposizione del titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui al presente articolo e consenta e contribuisca alle attività di revisione, comprese le ispezioni, realizzati dal titolare del trattamento o da un altro soggetto da questi incaricato evidenziando l’impossibilità che controllore e controllato siano la stessa persona.
Insomma, c’è chi fa e c’è chi controlla!

È presto fatto: per le ispezioni al Responsabile/DPO si ricorre a un auditor interno o, meglio, ad un’organizzazione indipendente esterna evitando così che il Responsabile/DPO possa trovarsi contemporaneamente nella duplice posizione di controllore (come DPO) e di controllato (come Responsabile del trattamento).
Bah, mi sembra un comportamento elusivo e fine a se stesso.

Mi trovo costretto a perorare la mia causa: <<Responsabile e DPO sono funzioni in conflitto d’interessi!>>. Perché, fra l’altro:

  • sono normativamente inquadrati come soggetti fra loro in antitesi;
  • il Responsabile mette in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del regolamento e garantisca la tutela dei diritti dell’interessato;
  • il DPO sorveglia a che siano soddisfatti i requisiti del regolamento e messe in atto le azioni necessarie volte a tutelare i diritti dell’interessato;
  • il Responsabile tratta i dati personali soltanto su istruzione documentata del titolare del trattamento;
  • il DPO svolge i suoi compiti in assoluta assenza di istruzioni, in piena autonomia ed indipendenza.

A porre la dovuta attenzione, da parte del Titolare, circa la più idonea ed appropriata applicazione dei requisiti del GDPR è l’art. 24, 1° paragrafo che contempla, per il Titolare, la messa in atto di misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al regolamento tenuto conto (…) dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche.

Fra le misure tecniche e organizzative da considerare, fin dalla progettazione, c’è quindi l’elaborazione di un chiaro organigramma per la data protection, l’individuazione dei singoli ruoli e responsabilità, all’insegna del principio di accountability su cui si basa l’intero regolamento, nonché dei compiti e funzioni che possono avere diversi livelli di probabilità, di essere fra loro in conflitto, ed altrettanti livelli di gravità ovvero di entità del danno che ne può conseguire.
Un’analisi superficiale delle condizioni di conflitto di interesse potrebbe determinare, in capo al Titolare/Responsabile, una culpa in eligendo con il rischio di disconoscimento del DPO e l’irrogazione di sanzioni pecuniarie per la sua conseguente mancata designazione.

Tutto ciò premesso, qualunque sia il risultato della valutazione di questa fattispecie di rischio, è evidente quanto sia utile, opportuno e doveroso tenere, da subito, separati i compiti e le aree di responsabilità in conflitto fra loro per ridurre al minimo le possibilità di trattamento illecito/irregolare degli asset dell’organizzazione quali sono i dati personali.

Marcello Colaianni
Certified DPO UNI11697
Certified DP Auditor ISDP10003 Scheme
Valutatore Privacy Certificato UNI11697

 

Il DPO è un AUDITOR!

L’art. 39 ci ricorda quali sono i compiti primari del DPO.

Fra questi, quello dell’Auditor, ovvero il compito di sorvegliare l’osservanza del regolamento, di altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo è sicuramente l’attività che in maggior misura impegna il DPO.

Egli esamina il trattamento di dati personali, valutando il rispetto di leggi e regolamenti applicabili e approva le misure necessarie a eliminare eventuali non-conformità rilevate, mantenendo una posizione indipendente da chi svolge attività manageriali e operative.

Per quanto sopra si evince che la conoscenza della normativa e la capacità di darle la più appropriata interpretazione nella sua applicazione in seno a ciascun Titolare/Responsabile è una prerogativa … che da sola, però, si rivela incompleta.

Essere un auditor significa avere, prima di tutto, specifiche competenze circa le modalità di conduzione degli audit.

Considerato il riferimento ai meccanismi di certificazione ex articoli 42 e 43 del GDPR, il ricorso a norme ISO internazionalmente validate, come la UNI EN ISO 19011 o la UNI EN ISO 17021-1 o la UNI ISO 31000, è logico, conseguenziale ed oltremodo coerente alla citata norma EN-ISO/IEC 17065/2012 a cui devono fare obbligatoriamente riferimento gli organismi di certificazione.

Nella fattispecie lo schema ISDP10003:2018, accreditato ACCREDIA e nominativamente richiamato in alcuni bandi di gara, fornisce chiare indicazioni proprio in merito a politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo …
… Attività di controllo per le quali l’Auditor può avvalersi di specialisti, ovvero dei cosiddetti esperti tecnici in ambito informatico, tecnologico, giuridico o organizzativo nella conduzione degli audit.

Il ricorso alle ulteriori professionalità cui può accedere il DPO, come previsto all’art. 38, va tuttavia circoscritto.
È poco professionale che il DPO si avvali di terzi soggetti quando interloquisce direttamente con il Titolare nell’esplicitazione dei punti della norma; è utile che ne sia adeguatamente e personalmente edotto.
Parimenti dicasi in ipotesi di delega delle attività di formazione e consulenza.
E ancora, laddove venga consultato nella Valutazione dei rischi o d’impatto, ricorrere ad altri ne sminuisce sia la figura sia il ruolo.

Ne consegue che il DPO debba essere personalmente autosufficiente almeno con riferimento alla normativa relativa alla protezione dei dati e agli aspetti di risk management su cui si basa la Valutazione dei rischi così come quella d’Impatto.
Attendersi questo quale requisito implicito dal Titolare del trattamento è assolutamente ragionevole.

È vero, il DPO non è un tuttologo né può esserlo ed allora trova giustificazione, per esempio, il ricorso agli esperti di cyber security.

Quello che è certo, dato anche il suo posizionamento in organigramma, sono le relazioni che pone quotidianamente in essere con le altre funzioni aziendali, oltre che con gli interessati e l’autorità di controllo.
Il suo contributo, fra l’altro, nell’assegnazione o verifica delle responsabilità e competenze al personale gli attribuiscono capacità di osservazione, sensibilità e discernimento.

Si comprende allora l’importanza di quelle abilità volte ad esaltarne gli effetti.
Abilità come la capacità di lavorare in gruppo, di analisi e di sintesi nonché l’assunzione di comportamenti idonei come l’essere di mentalità aperta e flessibile, diplomatici ed insieme tenaci e perseveranti, collaborativi ed in grado di agire con fermezza, sicuri di sé e aperti al miglioramento.

Marcello Colaianni
Certified DPO UNI11697
Valutatore Privacy certificato UNI11697
Certified DP Auditor ISDP10003:2018 scheme

Le competenze morbide del DPO … e non solo

I compiti del DPO e le competenze richieste nel Regolamento UE 679/2016 hanno dato via libera ai più disparati pareri, e convinzioni, su chi possa ricoprire questo ruolo.
A riguardo, mi sono già espresso con il mio articolo: <<Il Data Protection Officer: Quali competenze per quali compiti>> e non voglio essere ridondante:(https://marcellocolaianniblog.wordpress.com/2017/03/14/il-data-protection-officer-quali-competenze-per-quali-compiti)

Ciò a cui tengo, in questa sede, è dare il giusto spazio alle competenze morbide, ovvero a quelle abilità che per il DPO, e non solo per lui, sono estremamente utili nell’espletamento delle proprie funzioni.

Mi riferisco, per esempio, a quelle richiamate dalla norma ISO 19011: mentalità aperta, diplomatici, sicuri di sé, collaborativi, versatili, perseveranti, in grado di agire con fermezza, ecc. e dalla norma UNI 11697 che contempla, fra l’altro, la capacità di comunicare, di analisi, di sintesi, di controllo, di convincimento, di gestione dei conflitti, di iniziativa e di lavorare in gruppo.
Skill fondamentali nelle relazioni interpersonali e quindi anche per chi, come il DPO, si trova costantemente a confrontarsi con diversi soggetti, dentro e fuori l’organizzazione.

Ma cosa si intende per competenze dure e cosa per competenze morbide?
Si può dire che le prime consentono di svolgere specifici compiti sulla base di una molteplicità di conoscenze acquisite nel tempo; le seconde si riferiscono ad abilità che riguardano, piuttosto, le modalità di rapportarsi con gli altri, gli atteggiamenti assunti nell’esprimere concetti, l’assunzione di una postura rispettosa del proprio interlocutore, un tono di voce moderato e consono alle circostanze … e così via; in altre parole l’abilità di gestire le relazioni interpersonali.
La complementarietà fra competenze dure e competenze morbide è fondamentale ancor più di una ipotetica e totale copertura delle sole competenze dure … e insieme consentono di portare a termine compiti e di risolvere problemi.

Si nasce o si diventa competenti?
Si può tranquillamente affermare che nessuno nasce imparato!
L’apprendimento formale è base e condizione necessaria, e non sufficiente, per metabolizzare conoscenze e, quindi, competenze tecniche. L’apprendimento informale e non-formale chiudono il cerchio doverosamente integrate dall’esperienza.
Per le competenze morbide c’è quello che si chiama istinto, predisposizione o capacità innata. In realtà, anche qui si può agire di conseguenza e migliorare sempre.

Come? Con il coaching!
Un’attività con cui il professionista, il coach, affianca il cliente, il coachee, ad elicitare le risorse necessarie per risolvere problemi e raggiungere i propri obiettivi attraverso tecniche e metodologie appropriate.
Il coaching, non a caso, è una delle abilità previste per la figura del DPO.
Da qui l’utilità di inserire, nei tradizionali corsi per DPO o per Manager privacy, Specialista Privacy e Valutatore privacy incontri formativi che enfatizzino le suddette abilità per una preparazione più completa e strategica e se il coach è anche un addetto ai lavori nell’ambito della protezione dei dati personali … beh,  poter affidarsi a un mentore è il TOP!

In realtà in qualunque contesto, professionale o di vita quotidiana, chiunque trae grande utilità nell’immergersi in questo mondo stupefacente … ed è il primo ad accorgersene e rendersi conto del maggior potenziale acquisito.

Marcello Colaianni
Business, Corporate, Executive e Team Coach
Privacy Consultant e DP Auditor Certified – DPO UNI 11697 Certified

DATA PROTECTION e INFORMATION SECURITY: binomio indissolubile per il payroll management

La relazione fra i due contesti, e le norme che li disciplinano, assume connotazioni differenti a seconda dell’oggetto sociale dell’organizzazione.

Sicuramente, i settori merceologici più coinvolti nella gestione combinata di sicurezza delle informazioni e protezione dei dati sono quelli propri delle aziende ICT (società di HW, SW, Telecommunications, Hosting, Web provider, ecc.), del settore sanitario e della salute e quello finanziario.

Ciò premesso, tuttavia, un ambiente estremamente critico e significativo è quello relativo ai processi di gestione delle paghe. Dal punto di vista della protezione dei dati, fra l’altro, per il trattamento di dati particolari  e, all’occorrenza, di quelli penali. Per quanto alla sicurezza delle informazioni anche per l’evidente ed imponente  utilizzo dei sistemi informativi.

In questo contesto, non deve ingannare il fatto che la data protection sia disciplinata da norme di legge mentre la information security da norme di sistema. Entrambi, infatti, mantengono estremamente elevato il loro valore strategico e sostanziale specialmente in siffatti settori merceologici.

È fondamentale che le organizzazioni che affidano in outsourcing i suddetti servizi prestino la dovuta attenzione affinché non si verifichino violazioni di sorta anche per un incauto trattamento da parte delle società appaltatrici.

Cosa fare, allora, in sede di qualificazione/riqualificazione dei propri fornitori?
Le azioni utili da intraprendere si sviluppano secondo due direttrici.

La prima consiste nell’acquisire evidenze oggettive volte a dimostrare l’adeguamento alla normativa  di riferimento:

  • Relativamente agli aspetti della Data Protection si ricorda l’esistenza di due schemi pro GDPR riconducibili al DPMS 44001 ed all’ISDP 10003;
  • Per quanto alla sicurezza delle informazioni suggerisco, nel caso di specie, la certificazione secondo la norma UNI CEI EN ISO/IEC 27001 e, eventualmente, alla UNI EN ISO 22301:2014: “Sicurezza della società – Sistemi di gestione della continuità operativa – Requisiti”, con evidenza dell’adeguamento, anche attraverso richiesta dello statement of applicability, ad una o più delle seguenti norme:
    ISO/IEC 20000-1 riguardante i requisiti per un sistema di gestione del servizio;
    ISO/IEC 27010 per la gestione della sicurezza delle informazioni per le comunicazioni intersettoriali e interorganizzative
    ISO/IEC 27018 per la protezione delle informazioni di identificazione personale (PII) in cloud pubblici che agiscono come processori PII;

La seconda direttrice contempla, in aggiunta, la pianificazione di audit di 2a parte; ovvero ispezioni presso il fornitore per verificare, in loco, l’adeguatezza dei processi aziendali attraverso auditor propri o esterni.

A dimostrare le interrelazioni che si pongono fra sicurezza delle informazioni e protezione dei dati e la particolare attenzione richiesta per tali processi è, inoltre, il requisito che la norma UNI CEI EN ISO/IEC 27001 prevede all’obiettivo A.18.1.4, dell’allegato A, che dispone: <<Si devono assicurare la privacy e la protezione dei dati personali,  come richiesto dalla legislazione e dai regolamenti pertinenti, per quanto applicabile>>.

Il requisito  in discorso è inserito in una norma di sistema ma fa riferimento ad una norma di legge, in particolare al combinato disposto di cui al Regolamento UE 679/2016 ed al novellato D. Lgs. 196/03. Il rispetto della normativa sulla data protection è, quindi, un aspetto che va puntualmente controllato e sottoposto al processo di valutazione dei rischi ex ISO 27001. Il livello di rischio determinatosi, suggerirà l’opportunità di:

  • integrare il sistema per le parti mancanti ed applicabili all’organizzazione;
  • continuare o interrompere la conduzione dell’audit di 3a parte. Ciò a discrezione del gruppo di audit, ovvero dell’Organismo di certificazione;
  • qualificare, riqualificare o revocare la qualificazione, in ipotesi di audit di 2a parte, a cura del cliente.

Le suddette considerazioni, infine, lasciano ben immaginare quanto un’appropriata strutturazione di competenze, ruoli e responsabilità sia essenziale, anzi, determinante.
Il DPO, in questa sede, è la figura ideale anche per coniugare e monitorare sull’applicazione delle due normative, e quanto ad esse correlate, all’insegna di un organizzato ed integrato modello di riferimento nonché dei comuni principi di:

  • Liceità, Correttezza e Trasparenza;
  • Riservatezza, Integrità, Disponibilità;
  • Esattezza e Responsabilizzazione.

Marcello Colaianni
Compliance & Management Systems Consultant/Auditor
Privacy Consultant, DP Auditor e DPO UNI11697 Certified
UNI CEI EN ISO/IEC 27001 Qualified Auditor                    

GDPR versus ISO 27001

È ormai noto a tutti che la certificazione di un sistema di gestione della sicurezza delle informazioni (SGSI) non è valida quale evidenza circa la conformità dell’organizzazione alla normativa per la Data Protection.

Al contrario si può affermare che, pur soddisfatti gli altri requisiti, laddove non si abbia riscontro circa le dovute assicurazioni in merito alla privacy ed alla protezione dei dati  personali, la certificazione del SGSI non è garantita.
Lo si evince dal combinato disposto di cui all’obiettivo A.18.1.4 dell’appendice A ed al punto 6.1.3 “Trattamento del rischio relativo alla sicurezza delle informazioni” della ISO 27001.

Una lettura trasversale nei suddetti termini suggerisce quanto diventi fondamentale, oltre che opportuna, una certificazione di 3a parte di un meccanismo conforme agli articoli 42 e 43 del Regolamento UE 679.

È, in altre parole, quasi come dire che occorre verificare l’esistenza di una certificazione pro GDPR, o almeno la presenza dei presupposti di conformità al GDPR, per poter avviare l’iter per la certificazione ISO 27001 . È come, mi si permetta il parallelismo, quando le SOA devono verificare preliminarmente l’esistenza della certificazione ISO 9001 per il rilascio delle attestazioni richieste.

Se così è, appaiono evidenti le molteplici considerazioni che ne conseguono.

È conditio sine qua non che gli auditor 27001 coinvolti nell’audit, o almeno l’OdC, siano depositari di adeguate conoscenze in materia di data protection. In questo caso alcuni OdC potrebbero decidere di avvalersi, in alternativa agli esperti tecnici, di auditor che abbiano anche una certificazione secondo la norma UNI 11697. Ciò anche per dare ancora più peso e valore alla certificazione rilasciata.

Ben immaginabili possono essere le conseguenze di un siffatto ragionamento.
Si pensi ad un’organizzazione che abbia sia la certificazione ISO 27001 sia quella ex GDPR.

Quali potrebbero essere gli effetti qualora, in sede di verifica annuale, la stessa organizzazione si vedesse revocare il certificato di conformità al Regolamento? Oltre alla revoca del certificato, debitamente motivata, che l’OdC deve obbligatoriamente trasmettere al Garante privacy, c’è anche il rischio di vedersi, conseguentemente, revocare la certificazione ISO 27001 data la sopraggiunta inosservanza alla normativa privacy? E laddove l’Organismo coinvolto fosse lo stesso per entrambi gli schemi?

E cosa dire riguardo alla verifiche ispettive di 2a parte effettuate dalle aziende clienti?
Si pensi, per esempio, ad una multinazionale le cui paghe dei dipendenti sono gestite in outsourcing.
In sede di qualificazione dell’azienda appaltatrice verrà richiesto il soddisfacimento dei requisiti della ISO 27001, del Regolamento Ue e di quanto ad esso correlato, o di entrambe le normative o altro ancora come ulteriori evidenze in materia di Disaster Recovery o di Business Continuity Management? E quanto approfondite saranno queste verifiche?
Forse, “più semplicemente”, basterà fornire l’evidenza di una doppia certificazione di 3a parte?

Non spetta al sottoscritto dettare comportamenti univoci, questi competono sicuramente ad altri ma, se vogliamo essere allineati al dettato normativo – e in questa sede è significativa la relazione che viene a porsi fra norme di legge con valenza europea, oltre che nazionale, e norme di sistema con valenza internazionale, oltre che italiana – non vedo molte alternative alla suddetta interpretazione, almeno fino ad oggi.

A questo punto, come si suol dire, ai posteri l’ardua sentenza.

Marcello Colaianni
Compliance & Management Systems Consultant/Auditor
DPO UNI11697, Privacy Consultant e DP Auditor Certified

 

Autorità di controllo, Ente di accreditamento e Organismi di certificazione nella normativa Privacy

Negli articoli 40 a 43 del GDPR si affrontano i temi relativi ai codici di condotta ed ai meccanismi di certificazione la cui adozione è incoraggiata dagli Stati membri, dalle autorità di controllo, dal comitato e dalla Commissione.

Dalla lettura dell’art. 43 del GDPR, in particolare, erano sorte incertezze su chi dovesse essere il referente, fra l’organismo nazionale di accreditamento e l’autorità di controllo, per l’accreditamento degli Organismi di certificazione (OdC) titolati a certificare le organizzazioni secondo determinati meccanismi e in conformità al Regolamento.

Dubbi fugati con il novellato Codice in materia di protezione dei dati personali che, all’art. 2-septiesdecies recita: <<L’organismo nazionale di accreditamento di cui all’articolo 43, paragrafo 1, lettera b), del Regolamento è l’Ente unico nazionale di accreditamento, istituito ai sensi del regolamento (CE) n. 765/2008, del Parlamento europeo e del Consiglio, del 9 luglio 2008, fatto salvo il potere del Garante di assumere direttamente, con deliberazione pubblicata nella Gazzetta Ufficiale della Repubblica italiana e in caso di grave inadempimento dei suoi compiti da parte dell’Ente unico nazionale di accreditamento, l’esercizio di tali funzioni, anche con riferimento a una o più categorie di trattamenti>>.

Quanto sopra fissa quindi le aree e i margini di manovra dei due organismi riconoscendo Accredia come il referente per antonomasia per l’attività di accreditamento e il Garante Privacy quale organismo di accreditamento in presenza di presupposti e garante circa l’operato di Accredia stessa.

Da un’attenta lettura delle disposizioni in discorso, tuttavia, è significativo il fatto che il Garante Privacy possa direttamente rilasciare la certificazione, al pari degli OdC accreditati, in base a criteri personalmente approvati [v. artt. 42 § 5 e 58 § 3 lett. f)].

Non solo. Le suddette riflessioni trovano applicazione con specifico riferimento agli artt. 42 e 43, ovvero in materia di Certificazione e Organismi di certificazione, rispettivamente, senza estendersi al dettato ex artt. 40 e 41 che stabiliscono comportamenti in materia di codici di condotta.

L’art. 41, infatti, a proposito di monitoraggio dei codici di condotta approvati si riferisce, in senso lato, a “organismi accreditati” (v. §§ 1 e 2) lasciando intendere che fra questi vi possano essere anche altri soggetti oltre agli OdC ex art. 43.
Allo stesso modo non è specificato che, anche in questa sede, Accredia debba essere intesa come l’Ente unico nazionale di accreditamento (v. art. 2-septiesdecies/196).

La legittimità di queste considerazioni è supportata dalle previsioni dell’art. 57/679 che fra i compiti dell’autorità di controllo annovera quello di:

  • definire e pubblicare i criteri per l’accreditamento di un organismo per il controllo dei codici di condotta ai sensi dell’articolo 41 …
  • … e di un organismo di certificazione ai sensi dell’articolo 43;

sottolineando la chiara e differente specificità dei 2 contesti; quello cioè per il monitoraggio dei codici di condotta e quello per la certificazione dei Titolari e Responsabili del trattamento.

Marcello Colaianni
Privacy Consyultant e DP Auditor Certified
DPO UNI11697 Certified

GDPR e WHISTLEBLOWING (2^ parte)

Ops! Come non detto.
E mi appresto a correggere il tiro …

… Perché in piena calura estiva, è stato emanato il D. Lgs. 10 agosto 2018 n. 101 che, in vigore dal 19 settembre p.v., modifica e integra il Codice in materia di protezione dei dati personali cosicché l’istituto del whistleblowing lo si trova anche nel D. Lgs. 15 giugno 2003 n. 196 oltre che nel D. Lgs. 231/01.

In particolare, in tema di Limitazione ai diritti dell’interessato, l’art. 2-undecies, c. 1, lett. f), recita: I diritti di cui agli articoli da 15 a 22 del Regolamento non possono essere esercitati con richiesta al titolare del trattamento ovvero con reclamo ai sensi dell’articolo 77 del Regolamento qualora dall’esercizio di tali diritti possa derivare un pregiudizio effettivo e concreto: f) alla riservatezza dell’identità del dipendente che segnala ai sensi della legge 30 novembre 2017, n. 179, l’illecito di cui sia venuto a conoscenza in ragione del proprio ufficio.

Attenzione, però!
La L. 179 contempla si il dipendente MA anche il collaboratore privato (Art. 2/179. Tutela del dipendente o collaboratore che segnala illeciti nel settore privato), quali autori di segnalazione mentre il decreto 101 fa riferimento ai soli dipendenti per poi prevedere, all’art. 144, che: “Chiunque può rivolgere una segnalazione che il Garante può valutare anche ai fini dell’emanazione dei provvedimenti di cui all’articolo 58 del Regolamento“.
Quindi: tutti possono segnalare ma la tutela alla riservatezza al solo dipendente (???).

Certo è che, come anticipato in luglio, nell’adozione del modello organizzativo conforme alla normativa europea e nazionale in materia di Data Protection, i Titolari del trattamento dovranno tener in debito conto anche l’istituto del whistleblowing.

Un istituto richiamato e disciplinato, tanto in ambito pubblico quanto in quello privato, sia da norme di legge che di sistema negli ambiti:

  • dell’ANTICORRUZIONE: L. 190/2012 (anticorruzione nel settore pubblico), D. Lgs. 15/03/2017 n. 38: Attuazione della decisione quadro 2003/568/GAI del Consiglio, del 22 luglio 2003, relativa alla lotta contro la corruzione nel settore privato e UNI ISO 37001:2016: Sistemi di gestione per la prevenzione della corruzione. Requisiti e guida all’utilizzo.
  • della RESPONSABILITA’ AMMINISTRATIVA DELLE PERSONE GIURIDICHE: D. Lgs. 8 giugno 2001 n. 231 e smi (Artt. 2-bis, 2-ter e 2-quater);
  • della DATA PROTECTION – PRIVACY: D. Lgs. 196/03 e smi modificato e integrato dal D. Lgs. 10 agosto 2018 n. 101.

 

Marcello Colaianni
Compliance & Management Systems Consultant/Auditor
Privacy Consultant & DP Auditor Certified
DPO UNI 11697 Certified

 

Il DPO fra pensiero analitico e pensiero sintetico

Sulla figura del DPO si è scritto e detto tanto circa le sue competenze, il professionista che meglio ne incarna il ruolo o la sua collocazione ideale in organigramma.

Vado oltre … e mi soffermo sull’approccio utile con cui questi svolge i suoi compiti. E si evince subito, dal dettato ex art. 39, come il DPO debba focalizzarsi nelle sue attività di consulenza e formazione, di monitoraggio sull’idonea applicazione del GDPR piuttosto che nelle relazioni con l’autorità di controllo, il TTDP e i diversi stakeholder privacy dentro e fuori l’organizzazione.

L’approccio puntuale e particolareggiato che concretizza il pensiero analitico del DPO, però, da solo si rivela poco esaustivo o addirittura insufficiente per l’adempimento dei propri compiti e la migliore protezione dei dati dell’Organizzazione. Si scopre essere limitativo e persino di ostacolo al suo agire se non contestualizzato e condizionato dal pensiero sintetico.

L’adozione di un approccio sintetico è utile; no, è indispensabile a questo Responsabile.

Adottare un approccio sintetico significa avere uno sguardo ampio capace di esprimere diverse parti di sé. Avere una mappa che va oltre i consueti confini che permette di analizzare le esperienze da diverse angolazioni. Allora, fuori dagli schemi logici, si arriva ad esprimere la propria (e dell’organizzazione) visione del futuro.

Il giusto equilibrio fra pensiero, ed approccio, analitico e sintetico senza che uno prevalga sull’altro consente di raggiungere un ritmo cognitivo più produttivo permettendo di immergersi nel proprio obiettivo e raggiungerlo.

Qui, le competenze lasciano lo spazio alle abilità di ciascun DPO che opera in un alternarsi di pensiero analitico e sintetico dove l’operare del primo si inserisce nell’azione del secondo.

Non si ha buona cura dell’albero se non è contestualizzato con la foresta di cui fa parte. Il tronco, i rami, le foglie … e anche le radici visibili e no ai nostri occhi trovano un senso nella loro individualità e nell’insieme di cui sono parte.

Allo stesso modo il DPO non si accontenta di intervenire nella superficie, nella pedissequa esecuzione dei propri compiti. Egli analizza i singoli elementi ponendoli in relazione reciproca verificando le diverse prospettive da cui poter trarre e attuare le giuste azioni.

Si comprende allora perché al DPO non bastano le competenze. Insieme alle competenze, che concorrono all’acquisizione delle qualità professionali in funzione delle quali è designato, sono necessarie le abilità. Quelle abilità annoverate, per esempio, dalla norma UNI 11697 come la capacità di relazione, di analisi, di autogestione e controllo dello stress, di auto sviluppo e tenacia, di iniziativa e negoziazione e delle capacità organizzative e ancora, e non è un caso, il pensiero prospettico.

Marcello Colaianni
Compliance & Management Systems Consultant/Auditor
Privacy Consultant, DPO e DP Auditor Certified