Il DPO ha la responsabilità di garantire contemporaneamente sia la libera circolazione dei dati, che la protezione dai rischi che questa circolazione comporta.
Facile no?
Si chiudeva così il nostro editoriale con un perfetto cliffhunger, un momento di grande suspance. Perché, sì, è vero: il DPO è una figura davvero articolata, a metà strada tra il Garante della Privacy e l’azienda, capace di monitorare e comprendere il corretto flusso dei dati, e nel contempo mettere in atto tutte le operazioni per garantire la protezione dei rischi che questa circolazione comporta.
Questo è il nostro punto di partenza: dati e gestione dei dati.
Da quando la società e la politica si sono interessate alla protezione dei dati, sono stati messi in atto regolamenti, norme e obblighi che le aziende hanno dovuto recepire e attuare. E non poteva essere diversamente, visto che con l’aumento della tecnologia e la contaminazione dei dati personali in praticamente ogni dispositivo e ogni operazione relativa all’utente, il nostro approccio ai dati è diventato pervasivo.
Ammettiamolo: quando siamo di fronte al leviatano legislativo che impone una misura – in questo caso l’assunzione di un DPO – la si recepisce sempre con sospetto e circospezione, quasi fosse un’ingerenza che sarebbe meglio evitare. Eppure, guardiamo la cosa da un altro punto di vista. Non in tutte le casistiche il DPO è obbligatorio, ma lo è sempre la corretta gestione dei dati.
Considerare il Data Protection Officer un obbligo di legge è limitante, così come pensare che sia semplicemente “consigliato” averlo in azienda. In realtà parliamo di un vero e proprio investimento. Lo stesso che l’azienda opera in altri settori delle risorse umane. Anche il responsabile dei dati de facto è un investimento e garantisce all’azienda di avere la gestione dei dati in regola, con un basso rischio riguardo la protezione e una libera circolazione dei dati.
Proviamo a partire dall’idea che il DPO non sia mai obbligatorio, ma che sia una figura facoltativa che l’azienda può implementare, allo stesso modo del direttore marketing o del direttore vendite, o di qualsiasi posizione che funga da raccordo e controllo.
Ricordate? Si diceva che la figura del DPO è complessa, svolge numerose funzioni di raccordo, di controllo e di consulenza. Se dovesse mancare, quanti professionisti dovrebbero investire, all’interno dell’azienda, tempo e risorse per svolgere queste mansioni?
Perché, sia ben chiaro, anche se il Data Protection Officer non è presente nella nostra azienda, i Dati che necessitano Protection ci sono in ogni caso! Serve insomma qualcuno che sia capace di fare contente tanto le aziende che devono far circolare i dati, quanto gli interessati i cui dati devono essere protetti.
Siamo sicuri quindi che questo “obbligo” del DPO nasca solo come normativa e non come necessità interna dell’azienda? Riprendendo l’esempio del direttore marketing o vendite, davvero l’azienda risparmierebbe denaro e risorse se non assumesse una persona per questo ruolo?
Non avere il DPO, oggi, e ancor più in futuro, potrebbe farci spendere molto di più di quanto ci costerebbe oggi affidarsi a un esperto.
È innegabile che ormai il GDPR faccia parte del core di un’azienda quanto le vendite e la gestione del materiale. Va gestito, aggiornato e deve essere funzionante e funzionale, oltre ad essere un marchio di garanzia per gli utenti e i clienti sempre più attenti alla gestione dei loro dati.
Oggi qualsiasi azienda che utilizza il mondo digitale dei dati – soprattutto quelle di un certo tenore – trova nel DPO un risparmio di risorse, di tempo e di conseguenze legate ai problemi connessi con la sicurezza dei dati. È davvero un risparmio non averlo?
