Informazioni personali

Cerca nel blog

Translate

Visualizzazione post con etichetta etica. Mostra tutti i post
Visualizzazione post con etichetta etica. Mostra tutti i post

venerdì 4 settembre 2020

Etica e DPO, un difficile rapporto?

Caso non comune ma sto ampliando un mio precedente articolo che, nei fatti, costituisce il corpo centrale di questo post.

Stimolato dai feedback sul mio ultimo post sul DPO

e stimolato dalla lettura di un post ed i commenti sagaci di Andrea Monti mi sono rimesso a pensare a certi ruoi aziendali.

Prima di proseguire nella lettura però dovete leggervi di Andrea Monti:

La chiusura finale in particolare è interessante dove Andrea nota:

“…o il DPO fa finta di non vedere (e diventa concorrente in un illecito. Formale, ma pur sempre illecito) oppure mette il veto sull’iniziativa e, se l’azienda prosegue, non ha troppe alternative rispetto a segnalare il fatto all’autorità di protezione.”

“Quindi il DPO, anche se non segnala in autonomia una violazione normativa, può essere ascoltato dall’autorità (non solo) di protezione dei dati su queste circostanze. E dunque diventare un potenziale teste a carico (dell’accusa, in altri termini).”

Andrea Monti

E qui si apre un interessante punto .. ed è una esperienza che ho vissuto come manager in una multinazionale.

image taken from http://elaine.ie/2016/05/27/state-should-pay-whistleblowers/

Ad un certo punto, in una certa azienda, mi è stato detto che certi dati del personale sarebbero stati trasferiti fuori europa semplicemente perchè si, in barba al GDPR, e che non si doveva dire.

La questione mi ha subito dato fastidio per un motivo personale, tra quei dipendenti c’ero anche io. Erano i miei diritti che erano lesi, anche se i dati sarebbero stati trattati in maniera sicura.

Il punto era che invece che provare a discorrere con le autorità europee o trovare delle vie di mezzo percorribili si era scelto di non rispettare alcuni termini del GDPR. sapendo benissimo di violare un regolamento EU e sapendo benissimo di capire di tale regolamento poco o nulla.

Ancora più fastidioso era l’essere messo in mezzo ad un dilemma etico ed economico.

Durante la riunione ho obiettato che:

  1. mi si chiedeva esplicitamente di mentire alle mie persone e colleghi
  2. mi si chiedeva di non rispettare le leggi del mio paese
  3. mi si chiedeva di rendermi complice di un illecito.

Lo scopo era vedere se ci fossero state reazione da parte dei miei colleghi. Aimè solo 2 CSO nord europei mi diedero ragione.

Ovviamente le mie obiezioni furono derubricate a “quello rompe sempre le scatole” il che mi ha portato, assieme ad altre considerazioni (alcune strettamente personali) alla decisione di non rinnovare la collaborazione con quella azienda e contestualmente segnalare la cosa all’authority dopo la fuoriuscita.

Ora la questione è dove deve, eticamente, cadere la mia lealtà in questi casi? Verso la azienda o verso, in questo caso, le leggi del mio paese?

La cosa non è semplice, ne parlavo in un altro post quando osservavo che considero mascalzoni quei CEO/Board che per puro calcolo matematico preferiscono il rischio della sanzione che l’implementazione corretta del GDPR.

La mia obiezione risiede nel fatto che il GDPR è norma per proteggere le libertà di noi cittadini e residenti EU, non rispettarlo quindi implicitamente mette a rischio le mie libertà individuali.

Nel mio caso la mia lealtà va alla protezione dei miei concittadini e al rispetto della legge, anche se parliamo di un illecito amministrativo o formale la questione non è banale.

Un manager potrebbe allinearsi alla richiesta aziendale, potrebbe non allinearsi e prenderne le conseguenze (lo ho vissuto) o fare una via di mezzo, ad esempio denunciare il comportamento in via anonima alla autorità competente dopo aver, almeno, provato a obiettare sul comportamento.

Ancora più delicato, in questo caso, è il dipendente non manager, vaso di coccio.

L’istituto del whistleblowing potrebbe in qualche modo “proteggere” ma diciamocelo se si viene a sapere chi ha cantato…

Il problema etico rimane, in mancanza di obblighi formali a comunicare alla opportuna authority un eventuale illecito.

Il caso del DPO è anche più critico, visto che istituzionalmente ha obblighi chiari in merito al rispetto del GDPR che sono di indirizzo, formazione e controllo. Il punto è che in assenza di segnalazione alla autorità della non aderenza al regolamento il DPO non esercita la sua funzione di controllo.

Supponiamo per un momento che il DPO presenti le sue valutazioni di rischio su di un processo al board dando una valutazione che presenta un piccolo rischio residuale come accettabile, e che il board rifiuti le conclusioni definendo un rischio accettabile più alto. Ora posso comprendere che questo entri in un ambito di contrattazione tra le parti, se il rischio residuale è troppo alto il DPO deve comunicare con l’authority per la valutazione.

Ora il quanto alto sia è il punto dirimente, se il DPO considera il rischio accettato dal board troppo alto fa bene a comunicare al garante la cosa per un parere?

E se non lo fa e accade un incidente? E se non lo fa e viene una ispezione che giunge alle conclusioni del DPO e trova scritto nelle minute dei meeting del board quali erano le posizioni in merito?

Situazione scivolosa persino senza che vi sia un illecito formale come indicato nel post di andrea che vi invitavo a leggere inizialmente.

Analogo discorso potremmo farlo per il CISO che non ritenga adatti i meccanismi di protezione messi in atto dall’azienda ed in caso di breach incalzato dalle autorità esprima le sue perplessità (possibilmente scritte in qualche documento ufficiale).

Fa bene?

Fa male?

La questione delle responsabilità è quindi delicata, si prenda il caso INPS, dove alla fine tutto è finito a tarallucci e vino. Possibile che internamente nessuno ha sentito il bisogno di denunciare una situazione che ha portato al disastro? Non voglio credere che il livello di incompetenza sia tale per cui nessuno se ne potesse rendere conto.

Se è vero che vi sono vincoli di riservatezza, fino a dove questi si possono spingere?

Come Whistleblower o per ruolo la questione è non semplice, anche perchè vi sono altri termini da considerare tipo:

  1. la necessità di uno stipendio
  2. la possibilità di trovare lavoro

Pensate, ad esempio, un DPO che denuncia al garante una non conformità della propria azienda. Tra lui ed il CEO difficilmente sarà il CEO ad essere licenziato.

Ma se il DPO perde il lavoro a seguito della cosa (e i metodi ci sono per farlo) e la cosa si sa (questo è un mondo piccolo)…quante possibilità avrà di trovare una nuova collocazione?

Pensare ad una indipendenza che sia reale diventa estremamente difficile soprattutto in una situazione economica dove la ricollocazione non è ne facile ne garantita.

Meditiamo, Meditiamo

Etica e DPO, un difficile rapporto?

Caso non comune ma sto ampliando un mio precedente articolo che, nei fatti, costituisce il corpo centrale di questo post.

Stimolato dai feedback sul mio ultimo post sul DPO

e stimolato dalla lettura di un post ed i commenti sagaci di Andrea Monti mi sono rimesso a pensare a certi ruoi aziendali.

Prima di proseguire nella lettura però dovete leggervi di Andrea Monti:

La chiusura finale in particolare è interessante dove Andrea nota:

“…o il DPO fa finta di non vedere (e diventa concorrente in un illecito. Formale, ma pur sempre illecito) oppure mette il veto sull’iniziativa e, se l’azienda prosegue, non ha troppe alternative rispetto a segnalare il fatto all’autorità di protezione.”

“Quindi il DPO, anche se non segnala in autonomia una violazione normativa, può essere ascoltato dall’autorità (non solo) di protezione dei dati su queste circostanze. E dunque diventare un potenziale teste a carico (dell’accusa, in altri termini).”

Andrea Monti

E qui si apre un interessante punto .. ed è una esperienza che ho vissuto come manager in una multinazionale.

image taken from http://elaine.ie/2016/05/27/state-should-pay-whistleblowers/

Ad un certo punto, in una certa azienda, mi è stato detto che certi dati del personale sarebbero stati trasferiti fuori europa semplicemente perchè si, in barba al GDPR, e che non si doveva dire.

La questione mi ha subito dato fastidio per un motivo personale, tra quei dipendenti c’ero anche io. Erano i miei diritti che erano lesi, anche se i dati sarebbero stati trattati in maniera sicura.

Il punto era che invece che provare a discorrere con le autorità europee o trovare delle vie di mezzo percorribili si era scelto di non rispettare alcuni termini del GDPR. sapendo benissimo di violare un regolamento EU e sapendo benissimo di capire di tale regolamento poco o nulla.

Ancora più fastidioso era l’essere messo in mezzo ad un dilemma etico ed economico.

Durante la riunione ho obiettato che:

  1. mi si chiedeva esplicitamente di mentire alle mie persone e colleghi
  2. mi si chiedeva di non rispettare le leggi del mio paese
  3. mi si chiedeva di rendermi complice di un illecito.

Lo scopo era vedere se ci fossero state reazione da parte dei miei colleghi. Aimè solo 2 CSO nord europei mi diedero ragione.

Ovviamente le mie obiezioni furono derubricate a “quello rompe sempre le scatole” il che mi ha portato, assieme ad altre considerazioni (alcune strettamente personali) alla decisione di non rinnovare la collaborazione con quella azienda e contestualmente segnalare la cosa all’authority dopo la fuoriuscita.

Ora la questione è dove deve, eticamente, cadere la mia lealtà in questi casi? Verso la azienda o verso, in questo caso, le leggi del mio paese?

La cosa non è semplice, ne parlavo in un altro post quando osservavo che considero mascalzoni quei CEO/Board che per puro calcolo matematico preferiscono il rischio della sanzione che l’implementazione corretta del GDPR.

La mia obiezione risiede nel fatto che il GDPR è norma per proteggere le libertà di noi cittadini e residenti EU, non rispettarlo quindi implicitamente mette a rischio le mie libertà individuali.

Nel mio caso la mia lealtà va alla protezione dei miei concittadini e al rispetto della legge, anche se parliamo di un illecito amministrativo o formale la questione non è banale.

Un manager potrebbe allinearsi alla richiesta aziendale, potrebbe non allinearsi e prenderne le conseguenze (lo ho vissuto) o fare una via di mezzo, ad esempio denunciare il comportamento in via anonima alla autorità competente dopo aver, almeno, provato a obiettare sul comportamento.

Ancora più delicato, in questo caso, è il dipendente non manager, vaso di coccio.

L’istituto del whistleblowing potrebbe in qualche modo “proteggere” ma diciamocelo se si viene a sapere chi ha cantato…

Il problema etico rimane, in mancanza di obblighi formali a comunicare alla opportuna authority un eventuale illecito.

Il caso del DPO è anche più critico, visto che istituzionalmente ha obblighi chiari in merito al rispetto del GDPR che sono di indirizzo, formazione e controllo. Il punto è che in assenza di segnalazione alla autorità della non aderenza al regolamento il DPO non esercita la sua funzione di controllo.

Supponiamo per un momento che il DPO presenti le sue valutazioni di rischio su di un processo al board dando una valutazione che presenta un piccolo rischio residuale come accettabile, e che il board rifiuti le conclusioni definendo un rischio accettabile più alto. Ora posso comprendere che questo entri in un ambito di contrattazione tra le parti, se il rischio residuale è troppo alto il DPO deve comunicare con l’authority per la valutazione.

Ora il quanto alto sia è il punto dirimente, se il DPO considera il rischio accettato dal board troppo alto fa bene a comunicare al garante la cosa per un parere?

E se non lo fa e accade un incidente? E se non lo fa e viene una ispezione che giunge alle conclusioni del DPO e trova scritto nelle minute dei meeting del board quali erano le posizioni in merito?

Situazione scivolosa persino senza che vi sia un illecito formale come indicato nel post di andrea che vi invitavo a leggere inizialmente.

Analogo discorso potremmo farlo per il CISO che non ritenga adatti i meccanismi di protezione messi in atto dall’azienda ed in caso di breach incalzato dalle autorità esprima le sue perplessità (possibilmente scritte in qualche documento ufficiale).

Fa bene?

Fa male?

La questione delle responsabilità è quindi delicata, si prenda il caso INPS, dove alla fine tutto è finito a tarallucci e vino. Possibile che internamente nessuno ha sentito il bisogno di denunciare una situazione che ha portato al disastro? Non voglio credere che il livello di incompetenza sia tale per cui nessuno se ne potesse rendere conto.

Se è vero che vi sono vincoli di riservatezza, fino a dove questi si possono spingere?

Come Whistleblower o per ruolo la questione è non semplice, anche perchè vi sono altri termini da considerare tipo:

  1. la necessità di uno stipendio
  2. la possibilità di trovare lavoro

Pensate, ad esempio, un DPO che denuncia al garante una non conformità della propria azienda. Tra lui ed il CEO difficilmente sarà il CEO ad essere licenziato.

Ma se il DPO perde il lavoro a seguito della cosa (e i metodi ci sono per farlo) e la cosa si sa (questo è un mondo piccolo)…quante possibilità avrà di trovare una nuova collocazione?

Pensare ad una indipendenza che sia reale diventa estremamente difficile soprattutto in una situazione economica dove la ricollocazione non è ne facile ne garantita.

Meditiamo, Meditiamo

sabato 8 novembre 2014

Legale vs Etico vs Morale

Negli ultimi giorni ho avuto piu di un motivo per riflettere sul rapporto tra legalità, etica e morale. Eventi pubblici, si pensi al caso Cucchi piuttosto che alle cartelle esattoriali arrivate agli alluvionati genovesi in italia o al caso junker in europa, o fatti più personali, dal licenziamento di un amico ad una dolorosa vicenda di divorzio di una amica mi hanno mostrato la difficile relazione tra queste tre dimensioni della nostra vita.

Non è la prima volta che parlo dell’argomento, e recentemente ho avuto modo di scrivere sulla cosa in merito al motivo per cui i Tedeschi ed gli altri paesi nord-europei hanno tante difficoltà a fidarsi di noi. Pur sembrando argomenti astratti, questi sono in realtà molto più pesanti sulle nostre esistenze di quello che solitamente si creda.

Torno quindi sull’argomento per approfondirlo ulteriormente.

La prima osservazione che mi viene in mente è che Legalità, Etica e Morale viaggiano su canali diversi, non vi è identità tra i tre termini seppur spesso siano correlati.

Ho notato, per esperienza personale, che spesso si fa confusione tra i 3 ruoli, a volte sinceramente ed altre in maniera più opportunistica.

La legalità attiene alla sfera delle leggi, potrebbe apparire elementare capire ciò che è legale e ciò che non lo è. Purtroppo questo meccanismo non è di tipo booleano ma soggetto ad un notevole livello di arbitrarietà. Mi siano di conforto gli amici avvocati, non è forse detto comune che:

“non importa se tu hai o meno ragione, importa se il giudice te la da la ragione”

Esiste una evidente relazione tra etica e legalità, ma non è detto che ciò che è legale sia comunque etico. La legge non può coprire tutti gli aspetti e tutte le possibilità, ed esiste sempre un margine legato alla interpretazione. Un po la differenza che riconosciamo tra la lettera e lo spirito della legge.

Comportamenti legali ma difficilmente riconducibili all’etica li troviamo tutti i giorni, al di la degli aspetti legali è lecito chiedersi se farsi scudo di regolamenti e procedure giustifica, ad esempio, la volontaria lesione della controparte.

La cosa appare evidente in alcuni ambiti, è etico che a persone gia messe in ginocchio da una alluvione venga notificata con insolita solerzia una cartella esattoriale?

Eppure probabilmente i solerti impiegati di equitalia hanno agito secondo le regole. Il punto in questo caso è chiedersi se esistano, all’interno delle maglie di leggi e regolamenti, possibilità di agire altrimenti? Se no allora la loro azione è etica, ancorchè presenta dubbi di moralità,  se invece esistono elementi di discrezionalità la scelta è, o può essere considerata,  non etica anche se legale.

Del resto la legge offre letture diverse, la lettera e lo spirito di essa non coincidono sempre, non fosse altro perchè non è possibile definire per legge tutto lo spettro delle possibili combinazioni legate ad un evento e quindi è, per forza di cose, una “semplificazione” o “modellizzazione”. Non me ne vogliano gli esperti di giurisprudenza, ma non è forse vero che è proprio la giurisprudenza ad occuparsi del difficile rapporto tra spirito e lettera?

giurisprudenza In senso ampio, la conoscenza e la scienza del diritto, con riferimento originario al diritto romano, esteso poi anche al mondo moderno. In senso più ristretto e tecnico, l’insieme delle sentenze e delle decisioni attraverso cui gli organi giudicanti di uno Stato interpretano le leggi applicandole ai casi concreti che si presentano loro.

Tre elementi strettamente legati, quindi che non rappresentano però una identità.

Il fatto che una azione possa avere una copertura legale non ne definisce quindi ne la eticità ne la moralità. Il fine ed i mezzi sono allora legati da questi elementi, e un atto “illegale” può persino essere etico e morale, si pensi alla ribellione da un regime opressivo e dittatoriale o alla obiezione di coscenza di fronte ad atti che il soggetto considera inaccettabili.

Legalità, etica e morale cambiano di stato in stato ed è variabile col passare del tempo, non è quindi possibile o estremamente difficile, da un punti di vista laico, settare valori assoluti.

Difficile ad esempio trovare da noi giustificazione alla pena di morte (sicuramente non compatibile con l’etica e la morale cattolica) che invece viene accettata in paesi considerati civili ed etici come gli Stati Uniti d’America. In questo caso un medico che si presti a dare assistenza ad una sentenza di pena capitale stà violando l’etica cui dovrebbero attenersi i medici? NOn so se il giuramento di ippocrate vale anche per i medici americani, o in quale forma, ma se fosse vi sarebbe un stridente contrasto tra l’azione di sopprimere un individuo non per sua scelta o volontà (lo dico per lasciare aperta la questione più difficile legata all’eutanasia) e la professione medica derivante dalla adesione morale al giuramento di Ippocrate:

« Consapevole dell’importanza e della solennità dell’atto che compio e dell’impegno che assumo, giuro:

  • di esercitare la medicina in libertà e indipendenza di giudizio e di comportamento rifuggendo da ogni indebito condizionamento;

  • di perseguire la difesa della vita, la tutela della salute fisica e psichica dell’uomo e il sollievo della sofferenza, cui ispirerò con responsabilità e costante impegno scientifico, culturale e sociale, ogni mio atto professionale;

  • di curare ogni paziente con eguale scrupolo e impegno, prescindendo da etnia, religione, nazionalità, condizione sociale e ideologia politica e promuovendo l’eliminazione di ogni forma di discriminazione in campo sanitario;

  • di non compiere mai atti idonei a provocare deliberatamente la morte di una persona;

  • di astenermi da ogni accanimento diagnostico e terapeutico;

  • di promuovere l’alleanza terapeutica con il paziente fondata sulla fiducia e sulla reciproca informazione, nel rispetto e condivisione dei principi a cui si ispira l’arte medica;

  • di attenermi nella mia attività ai principi etici della solidarietà umana contro i quali, nel rispetto della vita e della persona, non utilizzerò mai le mie conoscenze;

  • di mettere le mie conoscenze a disposizione del progresso della medicina;

  • di affidare la mia reputazione professionale esclusivamente alla mia competenza e alle mie doti morali;

  • di evitare, anche al di fuori dell’esercizio professionale, ogni atto e comportamento che possano ledere il decoro e la dignità della professione;

  • di rispettare i colleghi anche in caso di contrasto di opinioni;

  • di rispettare e facilitare il diritto alla libera scelta del medico;

  • di prestare assistenza d’urgenza a chi ne abbisogni e di mettermi, in caso di pubblica calamità, a disposizione dell’autorità competente;

  • di osservare il segreto professionale e di tutelare la riservatezza su tutto ciò che mi è confidato, che vedo o che ho veduto, inteso o intuito nell’esercizio della mia professione o in ragione del mio stato;

  • di prestare, in scienza e coscienza, la mia opera, con diligenza, perizia e prudenza e secondo equità, osservando le norme deontologiche che regolano l’esercizio della medicina e quelle giuridiche che non risultino in contrasto con gli scopi della mia professione»

Si osservi come nel giuramento l’ultimo punto esplicitamente osservi che vi può essere un contrasto tra gli scopi della professione e le norme giuridiche e deontologiche.

Senza andare troppo lontano esempi di contrasto si possono trovare in casa nostra con esempi abbastanza noti, mi viene in mente, ad esempio la famosa registrazione dell’onorevole Razzi in parlamento.

L’episodio è interessante perchè ci permette di analizzare due comportamenti particolari.  da un lato abbiamo un onorevole, Franco Barbato,  che registra di nascosto una conversazione privata tra lui e l’onorevole Antonio Razzi, dall’altro abbiamo le imbarazzanti dichiarazioni dell’onorevole Razzi.

Vediamo i due punti, chi ha effettuato la registrazione ha sicuramente violato l’etica parlamentare, procedendo ad una registrazione di nascosto di un “collega” e rendendo il risultato pubblico. Non etico e quindi immorale? Sul peso morale della azione invece si aprono scenari molteplici, se l’intento fosse voler porre l’accento sul bisogno di moralizzare un luogo ove si decidono le sorti del paese, ebbene difficile dire che la azione sia stata immorale, se invece lo scopo fosse stato lo sbarazzarsi di un avversario politico valutazioni morali diverse potrebbero essere sollevate.

Dal punto di vista dell’onorevole Razzi invece è indubbio che le sue dichiarazioni alzino perplessità su l’eticità e moralità dei suoi comportamenti, anche se non vi è stata la violazione di regolamenti o leggi. (andate a cercarvi su internet le famose dichiarazioni dell’onorevole Razzi se non sapete di cosa stia parlando).

Esempi del genere nella nostra politica sono abbondanti, ma ne troviamo anche nella vita comune. Mi vengono in mente stridenti conflitti che ho visto personalmente e che, per ragioni di discrezione nei confronti delle persone coinvolte, non descrivo in dettaglio ma cito perchè per certi versi esemplari:

Il partner che si appropria, usando dei tecnicismi e abusando della fiducia della controparte, di beni che erano stati raccolti con l’idea di essere comuni e che a seguito della separazione sono diventati “suoi”, questo usando la copertura tecnica di firme concesse in fiducia (col senno di poi mal riposta) è un classico esempio di come un atto legale sia profondamente immorale. Difficile la posizione degli avvocati in questo caso, è etico seguire il proprio assistito indipendentemente da azioni che sono al limite della legalità? (si va da intercettazioni di comunicazioni, a sottrazione di documenti, per non parlare della pressione sulla prole).

Ma anche il dirigente allontanato nonostante abbia fatto  ciò che gli era stato richiesto o nonostante avesse sempre raggiunto gli obiettivi: forse che chi ha fatto la scelta è scevro da possibili censure morali?

Probabilmente queste osservazioni, che attengono ai rapporti tra leggi, etica e morale, sono più adatti ad un filosofo che ad un semplice cittadino ma trovo che esprimere una opinione in merito o almeno effettuare una riflessione su questi aspetti sia un dovere di ogni persona, non fosse altro che la presa di coscienza di questi aspetti è elemento fondamentale per formularsi una opinione