dpo esterno

Dal sapere al saper fare

L'autore

FRANCESCO IORI

FRANCESCO IORI

Socio fondatore di AgileDPO

Bio dell'Autore

Apparentemente ormai tutti sanno cosa sia il GDPR, si discute di privacy by design, best practice e cybersecurity e dell’importanza di integrare il concetto di privacy nelle fondamenta stesse dell’azienda.

Di norma, dopo aver discusso è normale che maturi la consapevolezza che ci sono parecchie cose da fare, ma chi si occuperà di controllare che tutto fluisca nel modo giusto, coordinare i Consulenti Privacy, gli IT manager e tutte le altre funzioni aziendali?

Il Data Protection Officer

Anche dando per acquisito il fatto che il DPO sia una figura ormai nota ai più – perché su di essa sono state scritte molte parole, anche da parte del Garante Italiano per la Protezione dei Dati personali – vorrei cominciare col scrivere che il DPO può essere considerato una funzione aziendale, prima ancora che un ruolo attribuito ad una persona fisica o giuridica. È, nei fatti, un compito da svolgere, richiesto dalle Autorità Garanti, per fare da supervisore su tutti gli aspetti e figure (aziendali o di enti pubblici) coinvolte nella gestione dei dati personali.

Per poter efficacemente mettere in pratica ciò che la società digitale, prima ancora che la legge, ci impone in termini di sicurezza ed efficienza, è necessario che l’ufficio del DPO ed il suo staff, interno o esterno, siano in grado di esprimere e coordinare tutte le competenze specifiche riguardanti i vari aspetti della protezione dei dati. Ha espresso questo Tom Nichols, nel saggio “The death of expertise” (Oxford Press 2017) che qui traduco per semplicità:

Nessuno è un esperto su tutto. Per quanto grandi siano le nostre aspirazioni, siamo ostacolati dal tempo e dai limiti dei nostri talenti. Abbiamo successo perché ci specializziamo e contemporaneamente sviluppiamo sistemi formali e informali che ci consentono di fidarci delle reciproche competenze.

Ecco perché in questa attività sono fondamentali tre passaggi.

Il primo riguarda la necessità di coinvolgere tutta l’azienda o l’ente pubblico in questione, attraverso la capacità di comunicare, formare e coinvolgere attivamente il personale, dai vertici fino all’ultimo degli operatori. Il secondo passaggio riguarda la necessità da parte del DPO di avere una conoscenza approfondita dell’ente o azienda di cui si è fatto carico, in particolare della cultura aziendale, del suo funzionamento e delle sue procedure. Questa conoscenza deve essere reciproca poiché il DPO deve essere percepito come una risorsa disponibile e al servizio di tutte le figure chiave dell’organizzazione.

Infine, il DPO, con il suo staff, deve essere in grado di fare una cosa difficilissima: adattarsi ed adattare le sue indicazioni alla realtà operativa, né un “signor No” né uno “Yes men”. La ragione della necessità di questo equilibrio ed attenzione ce la spiegano le primissime righe del Regolamento, che qui riporto:

Art.1 Par. 1.
Il presente regolamento stabilisce norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché norme relative alla libera circolazione di tali dati.

Il DPO ha dunque la responsabilità di garantire contemporaneamente sia la libera circolazione dei dati, che la protezione dai rischi che questa circolazione comporta.

Facile no?

 

Articolo originariamente pubblicato sulla rivista “GDPR POST – Il punto di riferimento per il GDPR, Speciale Coronavirus 2020. Editore: PrivacyLab Srl
dpo esterno
Scopri di più sull'autore di questo articolo!

Ti è piaciuto il nostro articolo? CONDIVIDILO!

Share on facebook
Share on linkedin
Share on email
Share on print

Chiedi un preventivo per il servizio di DPO esterno:

Il nostro staff di DPO certificati prenderà in carico la tua richiesta ed elaborerà un’offerta personalizzata secondo le tue esigenze.